Valide Tokens JSON Web com processamento em tempo real e verificações de segurança
Ferramentas profissionais para
Cole qualquer JWT e veja instantaneamente o header, payload e assinatura decodificados com exibição codificada por cores
Suporta algoritmos HMAC (HS256/384/512), RSA (RS256/384/512), ECDSA (ES256/384/512) e PSS
Detecta e exibe automaticamente o status de expiração do token com o tempo restante ou tempo desde a expiração
Exibe todos os claims padrão (iss, sub, aud, exp, iat) e claims personalizados com rótulos legíveis por humanos
Crie novos tokens JWT com headers, payloads e secrets personalizados para testes e desenvolvimento
Todo o processamento de tokens ocorre no seu navegador — seus secrets e tokens nunca são enviados para nenhum servidor
Perguntas comuns sobre
Um JWT (JSON Web Token) é um formato de token compacto usado para autenticação. Tem três partes codificadas em Base64URL separadas por pontos: o header (algoritmo e tipo), o payload (claims como ID de usuário e expiração) e a assinatura (prova criptográfica de que o token não foi adulterado).
Sim. Toda a decodificação ocorre localmente no seu navegador — nenhum dado é enviado para qualquer servidor. No entanto, lembre-se que payloads JWT são apenas codificados em Base64, não criptografados. Qualquer pessoa com o token pode ler o payload, então nunca coloque segredos em claims JWT.
HS256 usa uma chave secreta compartilhada (simétrica) — tanto o criador quanto o verificador precisam do mesmo segredo. RS256 usa um par de chaves pública/privada (assimétrico) — o criador assina com uma chave privada e qualquer um pode verificar com a chave pública. Use RS256 para APIs públicas.
Cole o token e nossa ferramenta lê automaticamente o claim 'exp' e o compara com a hora atual. Mostra se o token é válido, expirado ou não tem expiração definida, junto com o tempo exato restante ou decorrido.
Sim. Insira um header e payload personalizados, forneça um segredo, e a ferramenta gera um JWT assinado. Isso é útil para testar autenticação de API localmente, criar tokens mock para desenvolvimento e aprender como funciona a assinatura JWT.
Payloads JWT são codificados em Base64, não criptografados — qualquer pessoa com o token pode decodificar e ler o conteúdo. Armazene apenas identificadores não sensíveis (ID de usuário, funções, expiração) em JWTs. Mantenha dados sensíveis no lado do servidor e referencie-os por ID.