Depurador JWT e Testador de Segurança
Decodifique, verifique e edite JSON Web Tokens localmente.
Awaiting JWT Token
Paste encoded JWT token to begin decoding
Decodifique, verifique e edite JSON Web Tokens localmente.
Paste encoded JWT token to begin decoding
O Depurador JWT do JSON Workbench fornece um ambiente seguro do lado do cliente para decodificar, verificar e editar JSON Web Tokens. Para outras necessidades de processamento de dados, explore nosso Formatador JSON, Decodificador Base64, Comparador JSON, Comparação de Arquivos e utilitários de Diff de Pastas.
Decodifique, inspecione e verifique JSON Web Tokens em três etapas simples — tudo localmente no seu navegador, sem chamadas ao servidor.
Copie um JWT do seu aplicativo, cliente de API ou DevTools do navegador e cole no painel de entrada à esquerda.
O cabeçalho e a carga são decodificados instantaneamente em JSON legível. Edite qualquer seção e veja o token codificado atualizar em tempo real.
Insira seu segredo HMAC ou chave pública RSA/EC para validar criptograficamente a assinatura do token — localmente, nunca enviado a um servidor.
Header
Contains metadata: the signing algorithm (alg) and token type (typ). Base64URL-encoded and placed as the first segment.
Payload
The claims — data about the user or session, such as sub, exp, iat, and iss. Not encrypted — readable by anyone.
Signature
A cryptographic signature over the header and payload using your secret or private key. Changing any part of the token invalidates this signature.
A: Sim. Toda a decodificação e verificação ocorre inteiramente no seu navegador usando a Web Crypto API. Seu token nunca é transmitido para nenhum servidor externo.
A: A decodificação simplesmente decodifica o token em base64 para revelar o cabeçalho e a carga útil. A verificação usa seu segredo ou chave pública para confirmar criptograficamente que o token foi assinado por uma parte confiável.
A: A vulnerabilidade alg:none permite que um ator malicioso forje um JWT sem assinatura. Quando a ferramenta detecta um token usando alg:none, ela exibe um aviso.
A: Sim. O painel Inspetor de Claims analisa automaticamente o campo exp (expiração) e mostra se o token ainda é válido ou expirou, com data e hora legíveis.
A maioria das ferramentas JWT online envia seu token para seus servidores para decodificação. O JSON Workbench é diferente — cada operação de decodificação, codificação e verificação é executada inteiramente no seu navegador.
100% Local e Privado
Seus tokens nunca saem do seu navegador. Sem registros, sem análises dos seus dados de token, sem viagens de ida e volta ao servidor.
Edição Bidirecional
Edite o JSON decodificado e veja o token bruto atualizar instantaneamente, ou cole um token bruto e veja os painéis JSON serem preenchidos.
Verificação Criptográfica
Suporta segredos HMAC HS256/384/512 e chaves públicas RSA RS256/RS384/RS512 para validação completa de assinatura.