JWT Decoder / Encoder

Gratuito DevTools

JWT Decoder / Encoder

Decodifique tokens JWT e visualize Header, Payload e Signature. Verifique expiracao, gere novos tokens com HMAC-SHA256 via Web Crypto API. 100% no seu navegador, sem envio de dados.

12.4k usuarios Atualizado em Mar 2026 4.9/5

Avalie esta ferramenta:

4.9 (1204 votos) Obrigado!

Token JWT

Header Header

Algoritmo (alg)

Tipo (typ)

Chave secreta Signature

O encode usa HMAC-SHA256 via Web Crypto API. Para uso em producao, sempre use uma biblioteca JWT server-side (jsonwebtoken, PyJWT, etc.).

Payload Payload

Subject (sub)

Name

Issued At (iat) — Unix timestamp

Expires At (exp) — Unix timestamp

Claims adicionais

Token gerado

Preencha os campos acima para gerar o token...

Como Usar

Decodifique ou gere tokens JWT em segundos.

Escolha o modo

Selecione Decodificar para analisar um token ou Codificar para gerar um novo.

Cole ou preencha

No decode, cole o token JWT. No encode, preencha header, payload e chave.

Visualize o resultado

Veja Header, Payload e Signature separados, com status de expiracao.

Copie ou exporte

Copie secoes individuais ou o token completo com um clique.

O que e um JWT?

JWT (JSON Web Token) e um padrao aberto (RFC 7519) para transmitir informacoes de forma segura entre partes como um objeto JSON assinado digitalmente.

Estrutura: Um JWT e composto por tres partes separadas por pontos:

Header — algoritmo de assinatura e tipo do token
Payload — claims (dados) como sub, name, iat, exp
Signature — garante a integridade do token

O decode e feito totalmente no navegador — nenhum dado e enviado para servidores externos.

Artigo

JWT: O Que E, Como Funciona e Como Usar Esta Ferramenta de Forma Segura

Por Equipe Chipak • Atualizado em Mar 2026 • 6 min de leitura

Neste artigo

O que e JWT
Estrutura do token
Claims padrao
Seguranca e boas praticas
Casos de uso
Perguntas frequentes

1. O Que E JWT

JWT (JSON Web Token) e um padrao aberto definido pela RFC 7519 que permite transmitir informacoes de forma compacta e segura entre partes como um objeto JSON. As informacoes podem ser verificadas e confiaveis porque sao assinadas digitalmente — usando HMAC com uma chave secreta ou criptografia assimetrica (RSA, ECDSA).

JWTs sao amplamente usados para autenticacao (verificar quem o usuario e) e autorizacao (verificar o que o usuario pode fazer). Ao contrario de sessoes armazenadas no servidor, JWTs sao stateless: o servidor nao precisa consultar um banco de dados para validar o token, pois toda a informacao necessaria esta no proprio token.

2. Estrutura do Token

Um JWT tem o formato xxxxx.yyyyy.zzzzz, com tres partes separadas por pontos, cada uma codificada em Base64URL:

Header — declara o tipo do token (JWT) e o algoritmo de assinatura (HS256, RS256, etc.).
Payload — contem os claims: informacoes sobre o usuario e metadados do token.
Signature — garante que o token nao foi alterado. Calculada a partir de header + payload + chave secreta.

"A signature nao criptografa o payload — ela apenas garante integridade. Nunca coloque senhas ou dados sensiveis no payload de um JWT em producao."

3. Claims Padrao

Claims sao declaracoes sobre uma entidade (geralmente o usuario) e metadados adicionais. Claims registradas pela especificacao incluem:

iss (issuer) — quem emitiu o token
sub (subject) — o usuario ou entidade sobre o qual o token se refere
aud (audience) — para quem o token e destinado
exp (expiration time) — quando o token expira (Unix timestamp)
iat (issued at) — quando o token foi emitido
jti (JWT ID) — identificador unico do token

4. Seguranca e Boas Praticas

JWTs sao seguros quando usados corretamente, mas ha armadilhas comuns:

Sempre valide a assinatura no servidor — nunca confie cegamente no payload.
Use chaves secretas longas e aleatorias (minimo 256 bits para HMAC-SHA256).
Defina sempre um exp razoavel — tokens que nunca expiram sao um risco de seguranca.
Para producao, prefira RS256/ES256 (assimetrico) sobre HS256 em sistemas distribuidos.
Transmita tokens apenas via HTTPS — nunca em URLs.

5. Casos de Uso

Autenticacao de APIs REST: o cliente envia o JWT no header Authorization e o servidor valida sem consultar banco de dados.
Single Sign-On (SSO): compartilhar identidade entre multiplos servicos com um unico token.
Troca de informacoes: transmitir claims entre microsservicos de forma verificavel.
Debug e inspecao: esta ferramenta permite inspecionar tokens JWT recebidos durante desenvolvimento.

6. Perguntas Frequentes

Esta ferramenta pode verificar a assinatura?

O decode exibe a assinatura e o algoritmo, mas a verificacao criptografica exige a chave secreta ou publica. O encode gera tokens com HMAC-SHA256, HS384 ou HS512 usando a Web Crypto API do navegador.

Meu token e enviado para algum servidor?

Nao. Todo o processamento — decode e encode — acontece localmente no seu navegador via JavaScript. Nenhum token e transmitido externamente.

Posso usar o token gerado em producao?

Nao recomendamos. Para producao, use bibliotecas JWT especializadas no servidor (jsonwebtoken para Node.js, PyJWT para Python, jjwt para Java, etc.) com gestao adequada de chaves e validacao completa de claims.