A ferramenta verifica a assinatura?

Para tokens HMAC (HS256, HS384, HS512), cole o segredo e a ferramenta confere a assinatura no seu próprio dispositivo. Para tokens RS e ES (RS256/384/512, ES256/384/512), cole a chave pública PEM do emissor e ela é verificada do mesmo jeito. Em qualquer caso, o segredo ou a chave nunca sai do seu dispositivo.

É seguro colar um token real de produção?

A decodificação acontece no seu dispositivo, o token não vai para nenhum servidor. Ainda assim, qualquer pessoa com o bearer token assume o acesso do usuário — o risco maior é alguém olhando sua tela, não a ferramenta em si.

O que significa quando o campo alg vem como 'none'?

Algumas bibliotecas antigas aceitavam tokens sem assinatura via alg=none, um vetor de ataque conhecido. Uma API em produção precisa recusar isso. 'none' aparecer num token de autenticação é alerta para corrigir o emissor.

Por que exp e iat aparecem como números e não datas?

JWTs guardam timestamps como segundos desde 01/01/1970 UTC. O decodificador exibe ao lado de cada claim a data local correspondente, para você ver se o token expirou sem precisar fazer a conta.

Dá para decodificar token criptografado (JWE)?

JWE tem cinco partes separadas por ponto e é criptografado, não apenas assinado. Esta ferramenta lê JWS (três partes: header.payload.signature). Para JWE você precisa da chave de descriptografia, que por desenho deve ficar no servidor que recebe.

Decodificador JWT

Decodifique e inspecione tokens JWT instantaneamente

Token JWT

Algoritmo: HS256Expira em 1299d 19hEmitido em: 18 de jan. de 2018, 01:30:22Expira em: 1 de jan. de 2030, 00:00:00

Auditoria de segurançaRevisão recomendada

O token está assinado com um algoritmo real, não com "none".
Este token vale por mais de um ano. Tokens de vida longa são arriscados se vazarem — prefira expirações curtas com renovação.
O emissor ("iss") está definido.
Sem a claim "nbf". É opcional, mas defini-la impede o token de ser usado antes do horário de início.

Cabeçalho

alg

HS256

typ

JWT

Payload

Claims padrão

sub

1234567890Assunto — o usuário ou entidade a que o token se refere.

iat

151623902218 de jan. de 2018, 01:30:22Emitido em — quando o token foi criado.

exp

18934560001 de jan. de 2030, 00:00:00Expiração — o token deixa de valer após este horário.

aud

freeonlinetools.ioPúblico — para quem o token se destina.

iss

auth.serviceEmissor — quem criou e assinou este token.

Claims personalizados

name

John Doe

Assinatura

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Verificar assinatura

Insira o segredo HMAC para conferir a assinatura. Seu segredo permanece no seu dispositivo e nunca é enviado a lugar algum.

O que é Decodificador JWT?

Cole qualquer JSON Web Token para ver o cabeçalho, payload e assinatura decodificados. Verifique as claims do token, confira prazos de expiração e depure problemas de autenticação em segundos.

O decodificador separa o token pelos pontos, decodifica em Base64URL o header e o payload e interpreta ambos como JSON. Você vê o algoritmo de assinatura (HS256, RS256, EdDSA, etc.), todas as claims reservadas (iss, sub, aud, exp, iat, nbf, jti) e qualquer claim customizada que o serviço incluiu. As claims de timestamp são convertidas do epoch Unix para o seu fuso local, então um token vencido salta aos olhos.

Como usar

Cole o seu token JWT no campo de entrada — as três seções codificadas em Base64 serão detectadas automaticamente.
Visualize o cabeçalho decodificado (algoritmo, tipo) e o payload (claims, expiração, emissor) lado a lado.
Copie seções decodificadas individualmente ou a saída completa.

Quando usar

Investigar um 401 conferindo se o exp do bearer token já passou.
Confirmar que um token emitido em staging traz os valores certos em aud e iss antes do deploy em produção.
Ler o user_id ou os scopes que um SSO de terceiro embarcou no seu access token.

Resultado

Está a depurar um erro 401 na sua API. Cole o bearer token do cabeçalho da requisição para verificar se a claim 'exp' já expirou ou se a claim 'aud' corresponde à audiência esperada.

Perguntas frequentes

A ferramenta verifica a assinatura?: Para tokens HMAC (HS256, HS384, HS512), cole o segredo e a ferramenta confere a assinatura no seu próprio dispositivo. Para tokens RS e ES (RS256/384/512, ES256/384/512), cole a chave pública PEM do emissor e ela é verificada do mesmo jeito. Em qualquer caso, o segredo ou a chave nunca sai do seu dispositivo.
É seguro colar um token real de produção?: A decodificação acontece no seu dispositivo, o token não vai para nenhum servidor. Ainda assim, qualquer pessoa com o bearer token assume o acesso do usuário — o risco maior é alguém olhando sua tela, não a ferramenta em si.
O que significa quando o campo alg vem como 'none'?: Algumas bibliotecas antigas aceitavam tokens sem assinatura via alg=none, um vetor de ataque conhecido. Uma API em produção precisa recusar isso. 'none' aparecer num token de autenticação é alerta para corrigir o emissor.
Por que exp e iat aparecem como números e não datas?: JWTs guardam timestamps como segundos desde 01/01/1970 UTC. O decodificador exibe ao lado de cada claim a data local correspondente, para você ver se o token expirou sem precisar fazer a conta.
Dá para decodificar token criptografado (JWE)?: JWE tem cinco partes separadas por ponto e é criptografado, não apenas assinado. Esta ferramenta lê JWS (três partes: header.payload.signature). Para JWE você precisa da chave de descriptografia, que por desenho deve ficar no servidor que recebe.

Decodificador JWT

O que é Decodificador JWT?

Como usar

Quando usar

Resultado

Perguntas frequentes

Ferramentas relacionadas

Gerador de chaves PGP

Notas Seguras

Criptografador de arquivos

Decodificador de certificados SSL

Cifra de César

Gerador de frases-senha

Decodificador JWT