Help shape the future of JSON Workbench! We'd love to hear how you use it.

Depurador JWT e Testador de Segurança

Decodifique, verifique e edite JSON Web Tokens localmente.

Token Input
Signing Algorithm

Awaiting JWT Token

Paste encoded JWT token to begin decoding

Cabeçalho (editável)
Carga (editável)
SIGNATURE VERIFICATION
Nenhuma chave fornecida
JWT · DEBUGGER
Enviar feedback
Ln 1, Col 1

O Depurador JWT do JSON Workbench fornece um ambiente seguro do lado do cliente para decodificar, verificar e editar JSON Web Tokens. Para outras necessidades de processamento de dados, explore nosso Formatador JSON, Decodificador Base64, Comparador JSON, Comparação de Arquivos e utilitários de Diff de Pastas.

Como usar o Depurador JWT

Decodifique, inspecione e verifique JSON Web Tokens em três etapas simples — tudo localmente no seu navegador, sem chamadas ao servidor.

1. Cole seu Token

Copie um JWT do seu aplicativo, cliente de API ou DevTools do navegador e cole no painel de entrada à esquerda.

2. Inspecione e Edite

O cabeçalho e a carga são decodificados instantaneamente em JSON legível. Edite qualquer seção e veja o token codificado atualizar em tempo real.

3. Verifique a Assinatura

Insira seu segredo HMAC ou chave pública RSA/EC para validar criptograficamente a assinatura do token — localmente, nunca enviado a um servidor.

Understanding the JWT Structure

Header

Contains metadata: the signing algorithm (alg) and token type (typ). Base64URL-encoded and placed as the first segment.

Payload

The claims — data about the user or session, such as sub, exp, iat, and iss. Not encrypted — readable by anyone.

Signature

A cryptographic signature over the header and payload using your secret or private key. Changing any part of the token invalidates this signature.

Perguntas Frequentes

Q: É seguro colar meu JWT aqui?

A: Sim. Toda a decodificação e verificação ocorre inteiramente no seu navegador usando a Web Crypto API. Seu token nunca é transmitido para nenhum servidor externo.

Q: Qual é a diferença entre decodificar e verificar um JWT?

A: A decodificação simplesmente decodifica o token em base64 para revelar o cabeçalho e a carga útil. A verificação usa seu segredo ou chave pública para confirmar criptograficamente que o token foi assinado por uma parte confiável.

Q: O que significa o aviso "alg:none"?

A: A vulnerabilidade alg:none permite que um ator malicioso forje um JWT sem assinatura. Quando a ferramenta detecta um token usando alg:none, ela exibe um aviso.

Q: Posso ver se meu token está expirado?

A: Sim. O painel Inspetor de Claims analisa automaticamente o campo exp (expiração) e mostra se o token ainda é válido ou expirou, com data e hora legíveis.

Por que usar o Depurador JWT do JSON Workbench?

A maioria das ferramentas JWT online envia seu token para seus servidores para decodificação. O JSON Workbench é diferente — cada operação de decodificação, codificação e verificação é executada inteiramente no seu navegador.

100% Local e Privado

Seus tokens nunca saem do seu navegador. Sem registros, sem análises dos seus dados de token, sem viagens de ida e volta ao servidor.

Edição Bidirecional

Edite o JSON decodificado e veja o token bruto atualizar instantaneamente, ou cole um token bruto e veja os painéis JSON serem preenchidos.

Verificação Criptográfica

Suporta segredos HMAC HS256/384/512 e chaves públicas RSA RS256/RS384/RS512 para validação completa de assinatura.