Decodificador de JWT: header, payload e assinatura

Cole um JWT e veja na hora o header e o payload decodificados, com os horários exp/iat em formato legível. O token é analisado no seu navegador, nada é enviado para o servidor.

🔓 Cole o token

🧠 Como um JWT é construído

Um JWT (JSON Web Token) são três partes separadas por pontos: header.payload.signature. As duas primeiras são JSON comum codificado em base64url (por isso qualquer pessoa que tenha o token consegue lê-las). A terceira é a assinatura: ela não criptografa os dados, ela permite ao servidor verificar que o token não foi adulterado.

eyJhbG… . eyJzdW… . SflKxw… Header alg, typ base64url JSON Payload sub, exp, iat… base64url JSON Assinatura HMAC / RSA proteção contra adulteração

Qualquer pessoa pode decodificar um JWT — isso não é criptografia. Nunca armazene senhas ou segredos no payload. A autenticidade vem apenas da verificação da assinatura no servidor com a chave secreta.