Descodificador JWT
Cola um JSON Web Token e vê o header, o payload e a assinatura decodificados. Tudo no browser — o teu token não vai a lado nenhum.
Token JWT
HEADER·PAYLOAD·SIGN
CLAIMS PADRÃO · RFC 7519
9 reservadasiss
Issuer · quem emitiu o token
sub
Subject · sobre quem é o token
aud
Audience · para quem é o token
exp
Expiration time · quando expira
nbf
Not before · só válido a partir de
iat
Issued at · quando foi emitido
jti
JWT ID · identificador único
alg
Header · algoritmo de assinatura
kid
Header · key ID para rotação de chaves
◐ COMO FUNCIONA
Um JWT é uma string com três partes separadas por pontos: header.payload.signature. As duas primeiras são objetos JSON codificados em Base64URL — qualquer pessoa as consegue ler. A terceira é uma assinatura criptográfica que prova que o token foi emitido por quem conhece o segredo.
JWTs são adequados para autenticação (sessões, refresh tokens) e troca segura de claims entre serviços. Mas atenção: o payload é apenas codificado, não cifrado. Nunca metas lá segredos. E valida sempre a assinatura no servidor antes de confiar no conteúdo.