Decodificador / Inspetor de JWT

Cole um JWT para decodificar seu cabeçalho e payload e verificar riscos como alg:none, expiração ou falta de exp. Tudo é executado no seu navegador; as assinaturas não são verificadas.

Tudo é executado no seu navegador. Seus dados nunca são enviados a um servidor.

Cole um JWT acima para ver a saída decodificada.

Como usar

1
Cole o JWT que você quer inspecionar (cabeçalho.payload.assinatura — três partes).
2
O cabeçalho e o payload são decodificados e os valores arriscados são listados.
3
exp / iat / nbf são exibidos como datas e horas legíveis.

Por que importa

O essencial a entender: um JWT não é criptografado. Qualquer um pode decodificá-lo com Base64URL e lê-lo. Por isso nunca coloque segredos no payload, rejeite alg:none e sempre defina exp — essas são as defesas básicas.

Perguntas frequentes

QMeu JWT é enviado para algum lugar?

Não. A decodificação acontece inteiramente no seu navegador; o token nunca é enviado a um servidor. Ainda assim, tenha cuidado ao lidar com segredos de produção.

QA assinatura é verificada?

Não. Esta ferramenta apenas decodifica e inspeciona o conteúdo (a verificação precisa da chave; para defesa, o foco é ver o que há dentro).

Decodificador / Inspetor de JWT

Como usar

Por que importa

Perguntas frequentes

Páginas relacionadas