O Decodificador AG JWT é uma ferramenta gratuita para desenvolvedores que decodifica JSON Web Tokens (JWT) instantaneamente no navegador e verifica suas assinaturas — sem cadastro nem instalação.


Cole um token e suas três partes —cabeçalho, payload e assinatura— são decodificadas em base64url, coloridas e exibidas como JSON formatado, cada uma copiável com um clique. Para tokens HMAC (HS256/384/512), digite o segredo para verificar também a assinatura.


Claims registradas como exp, nbf e iat são expandidas em horário local legível e tempo relativo, e uma barra de status informa se o token expirou. Também oferece uma referência de algoritmos e claims e guias conceituais para entender o JWT com mais profundidade.


Todo o processamento acontece apenas no seu navegador, e nenhum token ou segredo que você cola é enviado ou armazenado em um servidor. Como o payload de um JWT não é criptografado, nunca inclua dados sensíveis nele.

Processado no navegador Decodificação instantânea Verificação HMAC Totalmente grátis
Esta ferramenta decodifica um token e pode verificar assinaturas HMAC. O payload de um JWT é codificado em base64url, não criptografado, então nunca inclua dados sensíveis como senhas ou chaves de API. Os tokens e segredos que você cola são processados apenas no seu navegador e nunca são enviados nem armazenados em nenhum servidor.

O token ou o segredo que eu colo é enviado a um servidor?

Não. A decodificação e a verificação HMAC acontecem inteiramente no seu navegador, e nenhum token ou segredo é enviado nem armazenado em qualquer servidor.

Quais algoritmos ela pode verificar?

Ela verifica a família HMAC (HS256/384/512) apenas com o seu segredo, usando a Web Crypto do navegador. Assinaturas assimétricas como RS, ES, PS e EdDSA precisam de chave pública, então esta ferramenta apenas as decodifica.

Posso colocar dados sensíveis em um JWT?

Não. O payload de um JWT é apenas codificado em base64url, não criptografado, então qualquer um pode decodificá-lo. Nunca guarde segredos como senhas ou chaves de API nele.

O que significam números como exp e iat?

As claims registradas de tempo são timestamps Unix em segundos desde 1º de janeiro de 1970. Esta ferramenta as exibe no seu horário local e como tempo relativo (por exemplo, em 3 dias).