JWT Decoder

JWT (JSON Web Token) compacta claims em três partes Base64url separadas por pontos: header (algoritmo, tipo), payload (claims como sub, exp, roles) e signature (verificação criptográfica). Amplamente usado em OAuth2, APIs stateless e SSO.

O decoder separa secções, descodifica JSON de header e payload, e exibe claims formatados — sem validar assinatura ou expiração. Processamento offline no browser: tokens de staging colados localmente não vazam para servidores. Crucial para debugging, nunca suficiente para autorização em produção.

Developers inspectam tokens de IdP, formadores explicam estrutura JWT e suporte diagnostica claims incorrectos. Complementar sempre com verificação de assinatura server-side.

Claims como exp, iat e aud tornam-se legíveis para debugging de SSO e APIs OAuth. Header revela algoritmo (RS256, HS256) — confirma se corresponde ao esperado antes de investigar falhas de assinatura no servidor. Nunca confies apenas neste decoder para autorizar acções sensíveis.

Equipas de identidade comparam claims emitidos por IdP staging vs produção descodificando tokens side-by-side offline.

Suporte técnico diagnostica tokens de utilizadores com sessão inválida inspecionando exp e iss sem expor segredo.

Mobile apps decodeiam JWT offline para mostrar claims de perfil enquanto validação de assinatura ocorre no backend.

**Aviso:** payload JWT é apenas Base64, não encriptado — não coloques segredos em claims sem encriptação adicional.