Grátis Decodificador JWT (decode local + HMAC opcional)

Cole um JWS compacto padrão (três partes Base64URL). Header e payload são decodificados como JSON. A verificação opcional suporta apenas HS256, HS384 e HS512 com Web Crypto — seu segredo não sai desta aba. RS256, ES256, EdDSA e alg none aparecem para inspeção, mas não são totalmente verificados aqui.

JWT (formato compacto)

Algoritmo: HS256 · Tipo: JWT

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Claims de tempo registrados

Emitido em (iat): 2018-01-18T01:30:22.000Z (1516239022)

Verificação HMAC opcional

A verificação usa os bytes UTF-8 do segredo e o algoritmo declarado no header. Apague o segredo ao terminar em máquinas compartilhadas.

Segredo compartilhado (UTF-8)

Digite um segredo para tokens HS256 e clique em verificar.

Loading…

How to use this tool

1
Abrir Decodificador JWT
Confirme primeiro se ele atende à sua tarefa: Decode de header e claims JWT, exp / nbf / iat em UTC, verificacao HS256 / HS384 / HS512 opcional, sem upload.
2
Adicione o conteúdo
Insira ou envie os dados pedidos no painel e ajuste as opções visíveis.
3
Use o resultado
Confira a prévia e copie ou baixe o resultado quando estiver pronto.

Resumo

Funciona offline?	Sim — após carregar a página, decode e HMAC usam só o navegador.
Algo é enviado?	Não. Safe Local Tools é estático; tokens e segredos ficam nesta aba.
RS256 ou JWKS?	Algoritmos assimétricos precisam de chave pública ou JWKS — não implementado aqui. Apenas decode de claims.
JWE criptografado?	Apenas JWS compacto assinado com três segmentos — não JWE.

Top use cases

Decode de header e claims JWT, exp / nbf / iat em UTC, verificacao HS256 / HS384 / HS512 opcional, sem upload.
Funciona offline?: Sim — após carregar a página, decode e HMAC usam só o navegador.
Algo é enviado?: Não. Safe Local Tools é estático; tokens e segredos ficam nesta aba.
RS256 ou JWKS?: Algoritmos assimétricos precisam de chave pública ou JWKS — não implementado aqui. Apenas decode de claims.
JWE criptografado?: Apenas JWS compacto assinado com três segmentos — não JWE.

FAQ

Posso confiar no payload decodificado?▾

Qualquer um pode decodificar Base64 de um JWT. A verificação de assinatura prova integridade com algoritmo e chave corretos — quando esta página consegue (família HS256 mais um segredo que você informa).

Por que aparece não suportado?▾

Muitas APIs usam RS256 com chave pública do emissor. Importar JWKS e curvas fica fora deste decodificador leve — use seu framework ou ferramentas dedicadas.

Os segredos ficam armazenados?▾

Não há chamadas ao servidor. Os segredos ficam na memória da página até recarregar ou sair.

Valida exp pelo relógio?▾

Mostramos horários só informativamente. Sua API ainda deve aplicar exp e nbf ao autorizar.

Por que minha colagem é inválida?▾

Algumas ferramentas adicionam Bearer ou aspas. Recorte exatamente para header.payload.signature com pontos ASCII. Preserve o caso em Base64URL.

E JWT aninhados?▾

Se um claim contiver outra string JWT, decodifique em uma segunda passagem — aqui espera-se um JWS compacto no nível externo.