Validar Tokens Web JSON com processamento em tempo real e verificações de segurança
Ferramentas profissionais para
Cole qualquer JWT e veja instantaneamente o header, payload e assinatura descodificados com visualização codificada por cores
Suporta algoritmos HMAC (HS256/384/512), RSA (RS256/384/512), ECDSA (ES256/384/512) e PSS
Deteta e apresenta automaticamente o estado de expiração do token com o tempo restante ou decorrido desde a expiração
Apresenta todos os claims padrão (iss, sub, aud, exp, iat) e claims personalizados com etiquetas legíveis por humanos
Crie novos tokens JWT com headers, payloads e secrets personalizados para testes e desenvolvimento
Todo o processamento de tokens ocorre no seu browser — os seus secrets e tokens nunca são enviados para qualquer servidor
Perguntas comuns sobre
Um JWT (JSON Web Token) é um formato de token compacto utilizado para autenticação. Tem três partes codificadas em Base64URL separadas por pontos: o header (algoritmo e tipo), o payload (claims como ID de utilizador e expiração) e a assinatura (prova criptográfica de que o token não foi adulterado).
Sim. Toda a descodificação ocorre localmente no seu browser — nenhum dado é enviado para qualquer servidor. No entanto, lembre-se que os payloads JWT são apenas codificados em Base64, não cifrados. Qualquer pessoa com o token pode ler o payload, portanto nunca coloque segredos em claims JWT.
HS256 utiliza uma chave secreta partilhada (simétrica) — tanto o criador como o verificador precisam do mesmo segredo. RS256 utiliza um par de chaves pública/privada (assimétrico) — o criador assina com uma chave privada e qualquer um pode verificar com a chave pública. Use RS256 para APIs públicas.
Cole o token e a nossa ferramenta lê automaticamente o claim 'exp' e compara-o com a hora atual. Mostra se o token é válido, expirado ou não tem expiração definida, juntamente com o tempo exato restante ou decorrido.
Sim. Introduza um header e payload personalizados, forneça um segredo, e a ferramenta gera um JWT assinado. Isto é útil para testar autenticação de API localmente, criar tokens mock para desenvolvimento e aprender como funciona a assinatura JWT.
Os payloads JWT são codificados em Base64, não cifrados — qualquer pessoa com o token pode descodificar e ler o conteúdo. Armazene apenas identificadores não sensíveis (ID de utilizador, funções, expiração) em JWTs. Mantenha os dados sensíveis do lado do servidor e referencie-os por ID.