Descodificador e Inspetor de Tokens JWT

Blog

Descodificador e Inspetor de Tokens JWT

BlogCheatsheets
Loading...
Loading JWT...

Descrição

Descodifique JSON Web Tokens para inspecionar cabeçalhos, payloads e assinaturas sem chaves secretas. Ótimo para depurar fluxos de autenticação.

Sobre Descodificador e Inspetor de Tokens JWT

O Descodificador de JWT divide um JSON Web Token nas suas três partes — cabeçalho, payload e assinatura — e descodifica os segmentos Base64URL para que possa ler as claims em JSON legível. É executado inteiramente no seu navegador e nunca necessita da sua chave secreta, porque descodificar um JWT não exige verificá-lo. Utilize-o para depurar fluxos de autenticação, inspecionar a expiração de tokens e confirmar quais as claims que um serviço emitiu.

Como usar

  1. Cole o seu JWT (a longa cadeia xxxxx.yyyyy.zzzzz) na entrada.
  2. O cabeçalho (algoritmo e tipo de token) e o payload (claims) são descodificados e apresentados como JSON formatado.
  3. Verifique as claims padrão como exp (expiração), iat (emitido em), iss (emissor) e sub (sujeito).
  4. O segmento da assinatura é apresentado mas não verificado — a verificação requer a chave de assinatura.

Perguntas frequentes

Descodificar um JWT exige a chave secreta?

Não. O cabeçalho e o payload estão apenas codificados em Base64URL, não encriptados, pelo que qualquer pessoa os pode descodificar e ler. A chave secreta só é necessária para verificar a assinatura, que prova que o token não foi adulterado.

É seguro colar um token aqui?

A descodificação acontece inteiramente no seu navegador — nada é enviado. Ainda assim, trate os tokens de acesso reais como segredos e evite colar tokens de produção em qualquer ferramenta que não controle.

Porque é que o meu token aparece como expirado?

A claim exp é um timestamp Unix. Se for anterior à hora atual, o token expirou e a maioria dos servidores rejeitá-lo-á, mesmo que ainda se descodifique sem problemas aqui.

Posso ler aqui um JWE encriptado?

Não. Esta ferramenta descodifica JWTs assinados (JWS). Os tokens encriptados (JWE) requerem a chave de desencriptação e não são legíveis por humanos apenas através da descodificação.