Por que a assinatura não é verificada?

A verificação requer a chave pública do emissor (para algoritmos assimétricos como RS256/ES256) ou o segredo simétrico (HS256). Ambos pertencem ao seu backend, não a uma ferramenta de navegador. Qualquer pessoa que execute JavaScript na sua máquina teria que lidar com esse segredo, o que é exatamente o que o design JWT tenta evitar.

Posso decodificar qualquer JWT sem o segredo?

Sim — o cabeçalho e o payload são codificados em Base64url, não criptografados. Qualquer pessoa que tenha o token pode ler seu conteúdo. Por isso, nunca coloque segredos (senhas, números de cartão brutos) dentro de um payload JWT.

Quais algoritmos o decodificador suporta?

Todos, para inspeção. A ferramenta lê o nome do algoritmo do cabeçalho, mas não o aplica. Valores comuns: HS256 (HMAC-SHA-256, simétrico), RS256 (RSA-SHA-256, assimétrico), ES256 (ECDSA-P256-SHA-256). O perigoso algoritmo 'none' — que significa 'este token não tem assinatura' — deve sempre ser rejeitado pelo seu código de verificação.

Decodificador JWT

Cole um JWT — veja cabeçalho, payload, algoritmo e expiração em uma única tela.

Buğra SözeriDesenvolvedor

Updated June 10, 2026 · Published June 10, 2026

Um JSON Web Token (JWT) carrega claims sobre um usuário autenticado em três partes separadas por pontos: um cabeçalho codificado em Base64url, um payload codificado em Base64url e uma assinatura (normalmente baseada em SHA-256). O decodificador divide o token, analisa cada segmento como JSON, exibe o algoritmo e o tempo até a expiração. Ele não verifica a assinatura — isso requer a chave do emissor e deve ocorrer no seu backend, não em uma ferramenta de navegador.

Toda a decodificação ocorre localmente. O Convertitive nunca registra, armazena ou transmite o token que você colar.

JWT (header.payload.signature)

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Algorithm

HS256

Expires

no exp claim

Signature is shown for reference but not verified. Verifying a JWT requires the issuer’s public or symmetric key — that step happens on your backend, not in a browser tool.

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

How to use

Cole seu JWT
Três segmentos Base64url unidos por pontos. O token codificado geralmente é uma linha longa — quebras de linha são toleradas.
Inspecione o cabeçalho e o payload
Cada segmento é exibido como JSON formatado. O cartão de algoritmo extrai 'alg' do cabeçalho para referência rápida.
Verifique a expiração
Se o payload contiver 'exp' (timestamp Unix em segundos), a ferramenta calcula quanto tempo resta com base na hora atual da sua máquina.

Frequently asked questions

Por que a assinatura não é verificada?: A verificação requer a chave pública do emissor (para algoritmos assimétricos como RS256/ES256) ou o segredo simétrico (HS256). Ambos pertencem ao seu backend, não a uma ferramenta de navegador. Qualquer pessoa que execute JavaScript na sua máquina teria que lidar com esse segredo, o que é exatamente o que o design JWT tenta evitar.
Posso decodificar qualquer JWT sem o segredo?: Sim — o cabeçalho e o payload são codificados em Base64url, não criptografados. Qualquer pessoa que tenha o token pode ler seu conteúdo. Por isso, nunca coloque segredos (senhas, números de cartão brutos) dentro de um payload JWT.
Quais algoritmos o decodificador suporta?: Todos, para inspeção. A ferramenta lê o nome do algoritmo do cabeçalho, mas não o aplica. Valores comuns: HS256 (HMAC-SHA-256, simétrico), RS256 (RSA-SHA-256, assimétrico), ES256 (ECDSA-P256-SHA-256). O perigoso algoritmo 'none' — que significa 'este token não tem assinatura' — deve sempre ser rejeitado pelo seu código de verificação.

Decodificador JWT

How to use

Cole seu JWT

Inspecione o cabeçalho e o payload

Verifique a expiração

Frequently asked questions

Ferramentas relacionadas