Cole um token JWT abaixo para decodificar e inspecionar seu conteúdo. Todo o processamento ocorre no seu navegador - seu token nunca é enviado para um servidor.
Um JSON Web Token (JWT) é um meio compacto e seguro para URL para representar reivindicações a serem transferidas entre duas partes. Os JWTs são comumente usados para autenticação e autorização em aplicações web e APIs. O token é assinado digitalmente, o que permite ao destinatário verificar que o token não foi adulterado.
Um JWT consiste em três partes separadas por pontos (.):
Contém metadados sobre o token, incluindo o tipo (JWT) e o algoritmo de assinatura usado (como HMAC SHA256 ou RSA).
Contém as reivindicações (claims), que são declarações sobre uma entidade (normalmente o usuário) e dados adicionais. As reivindicações podem incluir reivindicações registradas padrão como exp (expiração), iat (emitido em) e reivindicações personalizadas.
Usada para verificar se o remetente do JWT é quem diz ser e para garantir que a mensagem não foi alterada no caminho. A assinatura é criada usando o cabeçalho, a carga útil e uma chave secreta.
Identifica o tempo de expiração em ou após o qual o JWT não deve ser aceito para processamento. Isso ajuda a garantir que os tokens tenham uma vida útil limitada.
Identifica o momento em que o JWT foi emitido. Isso pode ser usado para determinar a idade do JWT.
Identifica o momento antes do qual o JWT não deve ser aceito para processamento.
Identifica o principal que emitiu o JWT.
Identifica o principal que é o assunto do JWT (geralmente o ID do usuário).
Identifica os destinatários para os quais o JWT se destina.
Usar a ferramenta Decodificador JWT é simples:
Esta ferramenta é totalmente do lado do cliente. Toda a decodificação de JWT ocorre no seu navegador usando JavaScript. Seus tokens nunca são enviados para nenhum servidor, garantindo sua segurança e privacidade. Você pode até usar esta ferramenta offline uma vez que a página seja carregada.
No entanto, lembre-se de que os JWTs são apenas codificados, não criptografados. Qualquer pessoa com acesso a um JWT pode decodificá-lo e ler seu conteúdo. É por isso que você nunca deve armazenar informações sensíveis como senhas nas cargas úteis de JWT. A assinatura garante que o token não foi modificado, mas não oculta o conteúdo.
Depois que um usuário faz login, um JWT pode ser emitido e enviado com solicitações subsequentes para verificar a identidade do usuário sem exigir que o servidor mantenha o estado da sessão.
Os JWTs podem transmitir informações com segurança entre as partes porque podem ser assinados, o que permite verificar o remetente e garantir que a mensagem não foi adulterada.
Os JWTs são comumente usados em APIs REST para autorizar o acesso a recursos protegidos.
Defina tempos de expiração apropriados para limitar a janela de oportunidade caso um token seja comprometido.
Sempre transmita JWTs por HTTPS para evitar interceptação.
Armazene os JWTs com segurança em sua aplicação, evitando o localStorage sempre que possível. Considere o uso de cookies httpOnly para aplicações sensíveis.
Sempre valide os JWTs no lado do servidor, verificando a assinatura, a expiração e quaisquer reivindicações personalizadas.
Lembre-se de que os JWTs podem ser decodificados por qualquer pessoa, portanto, evite armazenar informações sensíveis na carga útil.
Esta ferramenta é particularmente útil para desenvolvedores que precisam: