Logo do Gerador Brasil Gerador Brasil

    Decodificador JWT (JSON Web Token)

    Descriptografe e visualize os dados (Payload / Claims) do seu token de autenticação instantaneamente. Para proteger as credenciais de usuários e as regras de negócio da sua API, a leitura ocorre no seu dispositivo local sem que o token Bearer seja transmitido na rede.

    O que é um JSON Web Token (JWT)?

    O JWT é um padrão de mercado consolidado para transmitir dados e garantir autenticação segura (Login) através de solicitações HTTP entre o Front-end e a API (backend) de modo compacto.

    Estrutura visual de um JWT:

    Um token é contruído por três partes codificadas em um tipo amigável chamado Base64Url (e por isso elas podem ser lidas a olho nu facilmente através da nossa ferramenta). As partes são separadas por um ponto ("."):

    1. HEADER
      • Declara o tipo daquele token (geralmente JWT) e o algoritmo que foi usado para pregar a assinatura no fim dele (por exemplo SH256 (HS256) ou RSA).
    2. PAYLOAD (CLAIMS)
      • A parte em que desenvolvedor insere as declarações sobre do indivíduo daquele Token (qual o ID dele no banco, quando o token deve expirar, etc...).
    3. SIGNATURE
      • A última parte. A assinatura. Serve puramente para verificar se as partes 1 e 2 foram misteriosamente alteradas no meio do caminho (pois seria fraude!).

    ⚠️ Um Token é codificado e não criptografado.

    É bastante recomendável que desenvolvedores não incluam dados extremamente protegidos (como senhas) dentro das parcelas das requisições do Payload, pois o Base64 pode ser extraído facilmente como provado pela ferramenta nesta mesma página!

    Perguntas Frequentes sobre JWT

    O JWT decodificado pode ser lido por outras pessoas?

    Sim. Um JSON Web Token raramente é criptografado; ele é apenas codificado em Base64 para trafegar na rede. A segurança efetiva do JWT baseia-se na assinatura hash no final do token. É por isso que você nunca deve colocar dados sensíveis (como senhas, tokens de cartão de crédito) dentro do Payload de um JWT.

    É perigoso decodificar o token num site de terceiros?

    Não no nosso caso. O Gerador Brasil utiliza um algoritmo decode puramente manipulado por Javascript para que a decodificação ocorra instantaneamente no seu sistema operacional (client-side). Deste modo, o seu token não viaja pela internet e nunca vai parar em nenhum banco de dados ou log em um servidor remoto.