Ir para o conteúdo
Toova
Todas as Ferramentas

Decodificador e Inspetor JWT

Privado por design — roda inteiramente no seu navegador

Decodifique um JWT (JSON Web Token) e inspecione seu cabeçalho e payload sem enviar o token para lugar nenhum. A Toova exibe o algoritmo, as claims, os timestamps de emissão e expiração em formato legível, e sinaliza tokens já expirados — tudo localmente, no seu navegador.

Por que decodificar JWTs localmente

Todo outro decodificador de JWT pede que você cole o token em um formulário remoto. O problema é óbvio — se o token for válido, quem opera aquele servidor pode se passar por você. A Toova decodifica o token inteiramente no seu navegador, sem upload e sem log. Você pode colar um token de acesso de produção, inspecionar as claims e verificar se está corretamente estruturado sem vazá-lo a terceiros.

O que você vê na saída decodificada

A Toova divide o token em cabeçalho, payload e assinatura. O cabeçalho mostra o algoritmo e o ID da chave. O payload é um JSON formatado com cada claim padrão (iss, sub, aud, exp, nbf, iat, jti) convertida para forma legível. Os timestamps são traduzidos para seu fuso horário local e a ferramenta indica se o token é atualmente válido, expirado ou ainda não ativo.

Decodificar, nunca confiar

Decodificar um JWT não é o mesmo que verificá-lo. O decodificador mostra o que o token afirma ser, mas não verifica a assinatura — isso requer a chave de assinatura, que fica no servidor que emitiu o token. Use a Toova para depurar a estrutura das claims, expiração e valores de audience; use sua biblioteca de autenticação para verificar a confiança antes de conceder acesso.

Perguntas Frequentes

A Toova verifica a assinatura do JWT?
Não. A verificação requer a chave de assinatura, que só o emissor possui. A Toova decodifica o cabeçalho e o payload para que você possa inspecionar as claims, mas confiar no token ainda requer verificação no servidor com o segredo ou a chave pública.
Meu token é enviado para algum lugar?
Não. O decodificador roda inteiramente no seu navegador. O token nunca sai do seu dispositivo, e não há requisições de rede de saída durante a decodificação. Abra as ferramentas do desenvolvedor e verifique você mesmo.
Posso decodificar um token expirado?
Sim. O decodificador funciona independentemente da expiração. Ele sinaliza o token como expirado e mostra quando a claim exp passou, o que ajuda a depurar por que uma requisição foi rejeitada.
O que o campo alg me diz?
Ele identifica o algoritmo de assinatura — HS256 para HMAC-SHA256, RS256 para RSA, ES256 para ECDSA, entre outros. Se alg for "none", o token não é assinado, o que é quase sempre um bug de segurança.
Por que os timestamps são números?
As claims JWT usam segundos de epoch Unix. A Toova traduz iat, nbf e exp para seu fuso horário local para que você possa lê-los, mantendo o valor bruto visível como referência.