Anúncios incomodam? Ir Sem anúncios Hoje

Ferramentas JWT para Desenvolvedores Decodificar, Codificar e Verificar Expiração do Token

Publicado em

Três ferramentas gratuitas baseadas no navegador que cobrem todo o fluxo JWT: decodificar um token para inspecionar reivindicações, codificar um para simulação de testes e verificar a expiração para depurar erros 401 — sem necessidade de instalação.

Ferramentas JWT para Desenvolvedores: Decodificar, Codificar e Verificar Expiração do Token 1
ANUNCIADO Remover?

Todo desenvolvedor de backend já passou por isso: um erro 401 Não Autorizado aparece no console e a corrida começa. O token expirou? Foi assinado com o segredo errado? O payload perdeu uma declaração entre os serviços? Os JWTs — JSON Web Tokens — são o tecido que conecta a autenticação moderna, e quando eles quebram, tudo atrás da porta de autenticação fica escuro.

O problema não é que os JWTs são complexos. A estrutura na verdade é simples: três segmentos codificados em base64url e unidos por pontos — cabeçalho, payload, assinatura. O problema é que um token bruto como eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyXzEyMyIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTc0NjA5NjAwMH0.mK2xVpQ8nZ3aF7tLdRhW6sYbcXeUoIPjNvGqTmAS1kE não diz nada até que você o decodifique. E decodificar isso — rapidamente, em um navegador, sem instalar nada — é exatamente o que essas três ferramentas gratuitas lidam com.

Este guia passa pelo fluxo completo do JWT: decodifique um token para inspecionar o que está dentro, codifique um token para simular autenticação em testes e verifique a expiração para diagnosticar erros de timeout. Cada seção usa o mesmo token fictício acima para que você possa acompanhar o processo de ponta a ponta.

Ferramenta 1 — Decodificador JWT: Veja o Conteúdo de Qualquer Token Instantaneamente

O decodificador de JWT recebe qualquer token e o divide em seus três componentes, decodificando o cabeçalho e o payload da base64url para JSON legível.

Cole o exemplo de token acima e você verá o cabeçalho decodificado para:

{
  "alg": "HS256",
  "typ": "JWT"
}

E o payload:

{
  "sub": "user_123",
  "role": "admin",
  "exp": 1746096000
}

Que exp campo é um timestamp Unix. Na primeira vista, isso significa nada — mas o decodificador o converte para uma data legível, para que você saiba imediatamente se o token ainda é válido ou já está obsoleto.

Uma coisa para entender: o decodificador não verifica a assinatura por padrão. A verificação da assinatura exige o segredo (para HS256) ou a chave pública (para RS256/ES256). O que o decodificador fornece é o conteúdo decodificado — o que é tudo o que você precisa ao depurar um erro 401, verificar quais declarações foram incluídas ou inspecionar um token vindo de um provedor de identidade terceiro.

É importante notar: o payload do JWT é codificado em base64url, não criptografado. Qualquer ferramenta (ou pessoa) com o token pode ler o payload sem o segredo. A assinatura apenas prova que o token não foi alterado. Por isso, você nunca deve armazenar dados sensíveis — senhas, números de cartão de crédito, números de SSN — dentro do payload do JWT.

Ferramenta 2 — Codificador JWT: Crie Tokens para Testes

O Codificador JWT faz o contrário: você fornece um payload em JSON, escolhe um algoritmo (HS256 é o padrão), insere um segredo e a ferramenta gera um token assinado que pode ser usado imediatamente.

O uso mais comum é simular autenticação em testes. Suponha que seus testes de integração precisam acessar um ponto final protegido. Em vez de montar um fluxo real de login, você cria um token com as declarações exatas que o ponto final espera:

{
  "sub": "test_user_001",
  "role": "editor",
  "iat": 1746009600,
  "exp": 1746096000
}

Assine com o segredo de teste, coloque o token resultante nas cabeçalhos do seu teste e as rotas protegidas responderão como se um usuário real tivesse autenticado. Sem precisar mockar o middleware de autenticação, sem precisar iniciar um provedor de identidade — apenas um token válido com as declarações que você precisa.

O codificador também é útil quando você está construindo um novo serviço e deseja testar manualmente como ele trata combinações específicas de declarações: ausência de papéis, tokens expirados, escopos inesperados. Crie tokens com payloads de casos extremos e jogue-os no seu middleware para ver como ele responde.

Se você precisar entender o passo de codificação base64url em si — já que o payload do JWT é apenas codificado, não criptografado — o decodificador base64 você pode decodificar manualmente qualquer segmento. Cole a parte central de qualquer token (o segmento de payload) no decodificador base64 e você obterá o JSON bruto de volta. O mesmo método, um passo de cada vez.

Ferramenta 3 — Verificador de Expiração do JWT: Depure 401s Sem a Matemática

A expiração do token é responsável por uma grande parte dos erros de autenticação em produção. O verificador de expiração do JWT recebe qualquer token e diz imediatamente: está expirado? Se sim, há quanto tempo?

Cole o exemplo de token e o verificador extrai o exp campo, converte o timestamp Unix para uma data legível e o compara com o horário atual. Você obtém um status claro: válido (com tempo restante) ou expirado (com quanto tempo atrás expirou).

Isso importa mais do que parece. Quando um erro 401 ocorre em produção, a primeira pergunta é sempre: "o token expirou ou há algo de errado com o sistema?" Responder a essa pergunta com cálculos mentais sobre um timestamp Unix — 1746096000 - current_time / 3600 — gasta tempo e introduz erros. O verificador de expiração responde isso com apenas um clique.

Ele também mostra o iat (tempo de emissão) quando presente, para que você possa ver exatamente quando o token foi gerado e por quanto tempo a sessão está ativa. Útil para depurar erros de atualização de token ou investigar por que uma sessão de longa duração falhou repentinamente.

Juntando tudo: um fluxo típico de depuração

Você recebe um erro 401. Aqui está o caminho mais rápido da erro até a resolução:

  1. Verifique a expiração primeiro. Cole o token no verificador de validade. Se estiver expirado, a solução é uma atualização do token — nenhuma depuração adicional é necessária.
  2. Inspeccione o payload. Se o token ainda for válido, cole-o no decodificador de JWT. Verifique as declarações: a sub está correta? A role ou scope está presente? O público (aud) está certo para o ponto final que você está acessando?
  3. Reproduza com um token personalizado. Se você suspeitar que uma combinação específica de declarações está causando a rejeição, crie um token com o codificador e teste diretamente. Isso isola se é o conteúdo das declarações ou a estrutura do token que está causando o falha.

Três ferramentas, menos de um minuto, sem instalação. A maioria dos erros 401 relacionados a JWT são resolvidos nos passos 1 ou 2.

Você também pode gostar

Quer eliminar anúncios? Fique sem anúncios hoje mesmo

Instale nossas extensões

Adicione ferramentas de IO ao seu navegador favorito para acesso instantâneo e pesquisa mais rápida

Ao Extensão do Chrome Ao Extensão de Borda Ao Extensão Firefox Ao Extensão Opera

O placar chegou!

Placar é uma forma divertida de acompanhar seus jogos, todos os dados são armazenados em seu navegador. Mais recursos serão lançados em breve!

ANUNCIADO Remover?

Ferramentas essenciais

Ver tudo
Removedor de fundo
Editor de imagens de IA
Gerador de imagens de IA
Kit de imagens
Compressor de PDF
Conversor de Imagem
Link único
ANUNCIADO Remover?

Novas chegadas

Ver tudo
Estimador de Impressão de Carbono
Conversor de Classes do Tailwind CSS para CSS Puro
Parser de Sitemap XML e Extrator de URLs
Gerador de Consultas CSS
Gerador de Fundo CSS Aurora / Blob de Gradiente
Conversor de OpenAPI v2 para v3
Verificador de Propagação DNS

Atualizar: Nosso ferramenta mais recente foi adicionado em 20 de junho de 2026

ANUNCIADO Remover?

Notícias com destaques técnicos

Envolver-se

Ajude-nos a continuar fornecendo ferramentas gratuitas valiosas

Compre-me um café
ANUNCIADO Remover?