Decodificador e Validador de JWT
Cole um JSON Web Token para ver o conteúdo, as datas dos claims, checagens de segurança e verificar a assinatura. Tudo no seu navegador — o token não é enviado a nenhum servidor.
Header
Payload
Claims em destaque
🛡️ Checagens de segurança
Verificar assinatura
🧪 Demo: ataque alg:none
Alguns servidores mal configurados aceitam alg:none (sem assinatura), permitindo forjar tokens. Gere a versão sem assinatura deste payload para testar se a sua API rejeita (ela deve rejeitar).
Perguntas frequentes
O que é um JWT?
JSON Web Token é um formato de token usado para autenticação e troca de informações. Tem 3 partes separadas por ponto: header, payload e assinatura, cada uma codificada em Base64URL. O conteúdo não é criptografado — só assinado — então qualquer um consegue ler.
Decodificar é seguro? Meu token vaza?
Aqui sim: tudo acontece no seu navegador, o token nunca é enviado a servidores. Ainda assim, evite colar tokens de produção válidos em ferramentas que você não controla.
O que é o ataque alg:none?
É quando um token usa o algoritmo "none" (sem assinatura). Se o servidor aceitar, um atacante pode forjar qualquer payload. Uma API segura deve rejeitar tokens com alg:none e validar sempre a assinatura.
Como verifico a assinatura?
Para HS256/384/512, informe o segredo. Para RS*/ES*/PS*, cole a chave pública (PEM). A verificação usa a Web Crypto API do navegador.
☕ Curtiu as ferramentas? Elas são gratuitas, sem cadastro e sem limites. Se te ajudaram, considere me pagar um café — é isso que mantém o Ferramentai no ar e novas ferramentas chegando. Qualquer valor ajuda demais. 💜