Por que não verificam assinaturas?

Verificar assinatura precisa do segredo ou da chave pública. Colar um segredo num site é exatamente o modelo de ameaça errado - mantenha no seu servidor.

Os tokens são guardados?

Não. A decodificação roda no navegador; nunca enviamos o token pela rede.

Decodificador JWT

Decodifica e inspeciona JSON Web Tokens localmente.

Roda no seu navegador

Cole um JWT para ver header e payload. As datas iat/exp aparecem legíveis. Não verificamos assinaturas - mantenha o segredo no seu servidor.

JWT

Cabeçalho

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "Arnaud",
  "iat": 1516239022
}

Claims padrão

Sujeito: 1234567890
Emitido em: 2018-01-18 01:30:22 UTC

Como usar

Cole o JWT
Token completo com três partes (header.payload.signature). Há um exemplo pré-carregado.
Leia header e payload
O JSON decodificado aparece lado a lado. Claims padrão (iss, sub, exp, iat) são formatados como datas e rótulos legíveis.
Verifique a expiração
Veja se `exp` está no passado - é de longe o motivo mais comum de rejeição.

O que é?

Um JSON Web Token (JWT) são três strings Base64 URL-safe separadas por pontos: cabeçalho (algoritmo, tipo), payload (os claims - para quem, expiração, permissões) e assinatura. Um decodificador JWT separa e decodifica os dois primeiros segmentos. NÃO verifica a assinatura - isso exige o segredo.

Quando usar

Inspecionar um JWT ao depurar um fluxo de autenticação: para qual usuário, quando expira, quais scopes, qual emissor. Útil para suporte, revisores de segurança e devs em OAuth/OpenID. Sempre verifique `exp` em relação à hora atual quando uma requisição for inesperadamente rejeitada.

Erros comuns

Não cole tokens de produção em sites desconhecidos - o payload pode incluir IDs, emails, scopes. Não confunda JWT com criptografia: o payload é só Base64, legível por qualquer um. E a verificação de assinatura precisa da chave do emissor - nunca confie num JWT sem verificar no servidor.

FAQ

Por que não verificam assinaturas?: Verificar assinatura precisa do segredo ou da chave pública. Colar um segredo num site é exatamente o modelo de ameaça errado - mantenha no seu servidor.
Os tokens são guardados?: Não. A decodificação roda no navegador; nunca enviamos o token pela rede.

Codificador / Decodificador Base64

Codifica e decodifica strings Base64 (texto e arquivos).

Formatador e Validador de JSON

Formate, minifique e valide JSON instantaneamente.

Codificador / Decodificador de URL

Codifica e decodifica URLs e query strings (percent-encoding).