Codificação Base64 em JavaScript — Navegador e Node.js

Base64 aparece em todo lugar uma vez que você começa a procurar — tokens JWT, URIs de dados, anexos de e-mail, payloads de API carregando arquivos binários. A codificação em si é definida na RFC 4648 e é extremamente simples conceitualmente: pegue bytes arbitrários, represente-os usando apenas 64 caracteres ASCII imprimíveis. O que tropeça as pessoas é a implementação em JavaScript — diferentes APIs no navegador versus Node.js, a armadilha do Unicode que faz btoa() lançar exceções, e a variante segura para URLs da qual JWTs dependem. Este guia cobre tudo com código funcional.

btoa() e atob() no Navegador

O navegador tem btoa() e atob() há muito tempo. Os nomes são confusos (binary to ASCII e vice-versa), mas o uso é simples para strings simples:

// Encode a plain ASCII string
const encoded = btoa('hello world');
console.log(encoded); // "aGVsbG8gd29ybGQ="

// Decode it back
const decoded = atob('aGVsbG8gd29ybGQ=');
console.log(decoded); // "hello world"

// A more realistic example — encoding a simple auth token
const credentials = 'apiuser:s3cr3tkey';
const basicAuth = 'Basic ' + btoa(credentials);
// "Basic YXBpdXNlcjpzM2NyM3RrZXk="
// This is exactly what HTTP Basic Authentication uses

A armadilha do Unicode: btoa() só lida com strings onde cada caractere tem um ponto de código ≤ 255 (o intervalo Latin-1). Passe uma string contendo qualquer emoji ou caractere não-Latin e ela lança InvalidCharacterError imediatamente. Este é um dos bugs Base64 mais comuns em código de navegador.

// ❌ This throws — emoji is outside Latin-1
btoa('Hello 🌍');
// Uncaught DOMException: Failed to execute 'btoa' on 'Window':
// The string to be encoded contains characters outside of the Latin1 range.

// ❌ This also throws — any non-ASCII character will do it
btoa('café');
// Uncaught DOMException: ...

Lidando com Unicode com Segurança no Navegador

A correção é primeiro codificar a string para bytes UTF-8, depois Base64-codificar esses bytes. A abordagem clássica usa encodeURIComponent e um truque de decodificação por porcentagem. A abordagem moderna usa TextEncoder, que está disponível em todos os navegadores modernos e Node.js 11+:

// ✅ Unicode-safe encode using TextEncoder
function encodeBase64(str) {
  const bytes = new TextEncoder().encode(str);          // UTF-8 byte array
  const binString = Array.from(bytes, byte =>
    String.fromCodePoint(byte)
  ).join('');
  return btoa(binString);
}

// ✅ Unicode-safe decode using TextDecoder
function decodeBase64(base64Str) {
  const binString = atob(base64Str);
  const bytes = Uint8Array.from(binString, char =>
    char.codePointAt(0)
  );
  return new TextDecoder().decode(bytes);
}

// Now emojis and international text work fine
console.log(encodeBase64('Hello 🌍'));   // "SGVsbG8g8J+MjQ=="
console.log(decodeBase64('SGVsbG8g8J+MjQ==')); // "Hello 🌍"

console.log(encodeBase64('Héllo café')); // "SMOpbGxvIGNhZsOp"
console.log(decodeBase64('SMOpbGxvIGNhZsOp')); // "Héllo café"

Mantenha essas duas funções utilitárias em algum lugar do seu código e esqueça que o btoa() básico existe. O par TextEncoder/TextDecoder é a ferramenta certa para qualquer coisa além de ASCII puro. Você pode experimentá-la agora com a ferramenta Codificador Base64.

Buffer.from() no Node.js

O Node.js tem sua própria API para isso via a classe Buffer, que lida com codificação/decodificação de forma mais limpa. Não há armadilha do Unicode aqui porque você especifica explicitamente a codificação da entrada:

// Encode string → Base64
const encoded = Buffer.from('Hello 🌍', 'utf8').toString('base64');
console.log(encoded); // "SGVsbG8g8J+MjQ=="

// Decode Base64 → string
const decoded = Buffer.from('SGVsbG8g8J+MjQ==', 'base64').toString('utf8');
console.log(decoded); // "Hello 🌍"

// Practical example — encoding a JSON payload to embed in a config file
const config = {
  apiKey:    'sk-prod-abc123',
  projectId: 'proj_x9f2k',
  region:    'us-east-1'
};

const encodedConfig = Buffer.from(JSON.stringify(config), 'utf8').toString('base64');
// eyJhcGlLZXkiOiJzay1wcm9kLWFiYzEyMyIsInByb2plY3RJZCI6InByb2pfeDlmMmsiLCJyZWdpb24iOiJ1cy1lYXN0LTEifQ==

// Decode and parse it back
const decodedConfig = JSON.parse(
  Buffer.from(encodedConfig, 'base64').toString('utf8')
);
console.log(decodedConfig.region); // "us-east-1"

Note que btoa() e atob() também estão disponíveis no Node.js 16+ como globais (para compatibilidade com navegadores), mas a API Buffer é mais idiomática no Node.js e existe desde o Node.js v0.1. Para codificação específica de JSON, a ferramenta JSON para Base64 é útil para conversões manuais rápidas.

Base64 Seguro para URLs — O Que JWTs Realmente Usam

O Base64 padrão usa + e / em seu alfabeto. Ambos os caracteres são especiais em URLs — + significa espaço em query strings, e / é um separador de caminho. Quando você precisa de Base64 em uma URL ou como segmento JWT, usa a variante segura para URLs: substitua + por - e / por _, depois remova o preenchimento =. Isso é padronizado na RFC 4648 §5 e é o que toda biblioteca JWT usa internamente:

// Convert standard Base64 to URL-safe Base64
function toBase64Url(base64Str) {
  return base64Str
    .replace(/+/g, '-')
    .replace(///g, '_')
    .replace(/=+$/, '');  // strip padding
}

// Convert URL-safe Base64 back to standard Base64
function fromBase64Url(base64UrlStr) {
  // Restore padding — length must be a multiple of 4
  const padded = base64UrlStr + '==='.slice((base64UrlStr.length + 3) % 4);
  return padded
    .replace(/-/g, '+')
    .replace(/_/g, '/');
}

// Encode a string to URL-safe Base64
function encodeBase64Url(str) {
  return toBase64Url(btoa(str));
}

// Decode URL-safe Base64 to a string
function decodeBase64Url(str) {
  return atob(fromBase64Url(str));
}

// Example: manually inspect a JWT payload
const jwt = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOjQyLCJyb2xlIjoiYWRtaW4iLCJpYXQiOjE3MTM0MDAwMDB9.signature';
const [header, payload] = jwt.split('.');

console.log(decodeBase64Url(header));
// {"alg":"HS256","typ":"JWT"}

console.log(decodeBase64Url(payload));
// {"userId":42,"role":"admin","iat":1713400000}

É por isso que você verá strings Base64 como eyJhbGciOiJIUzI1NiJ9 em JWTs — sem preenchimento, traços em vez de sinais de mais. Ao enviar dados codificados como um parâmetro de consulta de URL, sempre use a variante segura para URLs para evitar URLs quebradas. A ferramenta Decodificador Base64 lida com Base64 padrão e seguro para URLs automaticamente.

Codificando um Arquivo com a API FileReader

Uma tarefa comum no navegador: o usuário seleciona uma imagem ou documento, e você precisa enviá-lo para uma API como Base64. A API FileReader tem readAsDataURL() exatamente para isso — fornece um URI de dados completo com o tipo MIME incluído:

// Wrap FileReader in a Promise for easier async usage
function fileToBase64(file) {
  return new Promise((resolve, reject) => {
    const reader = new FileReader();

    reader.onload  = () => {
      // result is "data:image/png;base64,iVBORw0KGgo..."
      // Strip the data URI prefix to get just the Base64 string
      const base64 = reader.result.split(',')[1];
      resolve(base64);
    };

    reader.onerror = () => reject(new Error('Failed to read file'));
    reader.readAsDataURL(file);
  });
}

// Hook it up to a file input
const fileInput = document.getElementById('avatarUpload');

fileInput.addEventListener('change', async (event) => {
  const file = event.target.files[0];
  if (!file) return;

  try {
    const base64 = await fileToBase64(file);
    console.log(`File size: ${file.size} bytes`);
    console.log(`Base64 length: ${base64.length} chars`);

    // Send to your API
    await fetch('/api/users/42/avatar', {
      method:  'PUT',
      headers: { 'Content-Type': 'application/json' },
      body:    JSON.stringify({ image: base64, mimeType: file.type })
    });
  } catch (err) {
    console.error('Upload failed:', err.message);
  }
});

Se você precisar do URI de dados completo (incluindo o prefixo do tipo MIME) em vez de apenas o Base64 bruto, pule o .split(',')[1] e use reader.result diretamente. Para conversão em massa de arquivos, a ferramenta Imagem para Base64 lida com imagens sem escrever nenhum código.

Codificando Dados Binários e Uint8Arrays

Às vezes você não está começando de uma string ou File — você tem bytes brutos de uma operação WebCrypto, exportação de canvas, ou módulo WebAssembly. Veja como ir de um Uint8Array para Base64 e de volta em ambos os ambientes:

// --- Browser ---

// Uint8Array → Base64 (browser)
function uint8ToBase64(bytes) {
  const binString = Array.from(bytes, byte =>
    String.fromCodePoint(byte)
  ).join('');
  return btoa(binString);
}

// Base64 → Uint8Array (browser)
function base64ToUint8(base64Str) {
  const binString = atob(base64Str);
  return Uint8Array.from(binString, char => char.codePointAt(0));
}

// Example: export a canvas as raw PNG bytes → Base64
const canvas  = document.getElementById('myCanvas');
canvas.toBlob(blob => {
  blob.arrayBuffer().then(buffer => {
    const bytes   = new Uint8Array(buffer);
    const encoded = uint8ToBase64(bytes);
    console.log('PNG as Base64:', encoded.slice(0, 40) + '...');
  });
}, 'image/png');


// --- Node.js ---

// Uint8Array / Buffer → Base64 (Node.js)
function uint8ToBase64Node(bytes) {
  return Buffer.from(bytes).toString('base64');
}

// Base64 → Buffer (Node.js)
function base64ToBufferNode(base64Str) {
  return Buffer.from(base64Str, 'base64');
}

// Example: hash a password and encode the result
const crypto = require('crypto');
const hash   = crypto.createHash('sha256').update('mySecretPassword').digest();
// hash is a Buffer (which extends Uint8Array)
console.log(hash.toString('base64'));
// "XohImNooBHFR0OVvjcYpJ3NgxxxxxxxxxxxxxA=="

Incorporando Imagens como URIs de Dados

Um dos usos mais práticos do Base64 no desenvolvimento web é incorporar imagens diretamente em HTML ou CSS, eliminando uma requisição HTTP. Você provavelmente já viu URIs de dados em SVGs inline ou templates de e-mail. Aqui está o padrão:

html

<!-- Inline image in HTML — no separate network request -->
<img
  src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAADUlEQVR42mNk+M9QDwADhgGAWjR9awAAAABJRU5ErkJggg=="
  alt="1x1 transparent pixel"
  width="1"
  height="1"
/>

css

/* Inline background image in CSS — commonly used for small icons and loading spinners */
.spinner {
  width:  32px;
  height: 32px;
  background-image: url("data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmciIHZpZXdCb3g9IjAgMCAyNCAyNCI+PHBhdGggZD0iTTEyIDJhMTAgMTAgMCAxIDAgMCAyMCAxMCAxMCAwIDAgMCAwLTIweiIvPjwvc3ZnPg==");
  background-repeat:   no-repeat;
  background-position: center;
  background-size:     contain;
}

// Generate a data URI from a fetched image (Node.js)
const fs     = require('fs');
const path   = require('path');

function imageFileToDataUri(filePath) {
  const ext      = path.extname(filePath).slice(1).toLowerCase();
  const mimeMap  = { png: 'image/png', jpg: 'image/jpeg', jpeg: 'image/jpeg',
                     gif: 'image/gif', svg: 'image/svg+xml', webp: 'image/webp' };
  const mimeType = mimeMap[ext] ?? 'application/octet-stream';
  const fileData = fs.readFileSync(filePath);
  const base64   = fileData.toString('base64');
  return `data:${mimeType};base64,${base64}`;
}

const dataUri = imageFileToDataUri('./logo.png');
// "data:image/png;base64,iVBORw0KGgo..."
// Drop this into an <img src> or CSS background-image

Aviso de tamanho: A codificação Base64 infla o tamanho do arquivo em cerca de 33%. Uma imagem de 100 KB torna-se ~133 KB de texto Base64. URIs de dados são melhores para assets pequenos (ícones, SVGs, sprites minúsculos) — não para fotos ou imagens grandes. Para esses, o multiplexamento HTTP/2 torna requisições separadas mais rápidas do que incorporar.

Um Módulo Utilitário Compacto para Ambos os Ambientes

Em vez de espalhar chamadas btoa() pelo seu código, vale a pena ter um único módulo utilitário que cobre Unicode, variantes seguras para URLs e funciona em navegador e Node.js. Aqui está um que faz tudo isso:

// base64.js — drop into any project
const isNode = typeof process !== 'undefined' && process.versions?.node;

export function encode(str) {
  if (isNode) {
    return Buffer.from(str, 'utf8').toString('base64');
  }
  // Browser: encode to UTF-8 bytes first, then Base64
  const bytes = new TextEncoder().encode(str);
  const binString = Array.from(bytes, b => String.fromCodePoint(b)).join('');
  return btoa(binString);
}

export function decode(base64Str) {
  if (isNode) {
    return Buffer.from(base64Str, 'base64').toString('utf8');
  }
  // Browser: Base64 → bytes → UTF-8 string
  const binString = atob(base64Str);
  const bytes = Uint8Array.from(binString, c => c.codePointAt(0));
  return new TextDecoder().decode(bytes);
}

export function encodeUrlSafe(str) {
  return encode(str)
    .replace(/+/g, '-')
    .replace(///g, '_')
    .replace(/=+$/, '');
}

export function decodeUrlSafe(str) {
  const padded = str + '==='.slice((str.length + 3) % 4);
  return decode(padded.replace(/-/g, '+').replace(/_/g, '/'));
}

export function encodeBytes(bytes) {
  if (isNode) return Buffer.from(bytes).toString('base64');
  const binString = Array.from(bytes, b => String.fromCodePoint(b)).join('');
  return btoa(binString);
}

export function decodeToBytes(base64Str) {
  if (isNode) return Buffer.from(base64Str, 'base64');
  const binString = atob(base64Str);
  return Uint8Array.from(binString, c => c.codePointAt(0));
}

// Usage examples
import { encode, decode, encodeUrlSafe, decodeUrlSafe } from './base64.js';

encode('Hello 🌍');           // "SGVsbG8g8J+MjQ=="
decode('SGVsbG8g8J+MjQ==');   // "Hello 🌍"

encodeUrlSafe('[email protected]'); // "dXNlckBleGFtcGxlLmNvbQ" (no +, /, or =)
decodeUrlSafe('dXNlckBleGFtcGxlLmNvbQ'); // "[email protected]"

Armadilhas Comuns a Observar

btoa() lança exceção em caracteres não-Latin — qualquer caractere acima do ponto de código 255 causa InvalidCharacterError. Sempre use a abordagem TextEncoder ou Buffer.from(str, 'utf8') no Node.js.
O preenchimento importa para decodificação — strings Base64 devem ter um comprimento múltiplo de 4. O preenchimento = ausente faz atob() retornar silenciosamente lixo ou lançar exceção, dependendo do navegador. Sempre restaure o preenchimento antes de decodificar strings seguras para URLs.
Buffer versus codificação de string no Node.js — Buffer.from(str) tem padrão UTF-8, mas Buffer.from(str, 'binary') trata a string como bytes Latin-1. Usar a codificação errada ao decodificar produz saída embaralhada que pode ser difícil de depurar.
Tipo MIME do URI de dados — data:;base64,... (sem tipo MIME) funcionará em alguns navegadores mas não em outros. Sempre inclua o tipo MIME: data:image/png;base64,....
Quebras de linha em Base64 MIME — a RFC 4648 permite que implementações insiram quebras de linha a cada 76 caracteres (como codificadores de e-mail fazem). atob() e Buffer.from() ambos lidam com isso, mas se você estiver gerando Base64 você mesmo, não adicione quebras de linha a menos que o sistema de destino as espere.

Conclusão

Base64 em JavaScript é um daqueles tópicos que parecem triviais até te morder. A versão curta: nunca use btoa() básico para qualquer coisa gerada pelo usuário — envolva-o com TextEncoder para lidar com Unicode corretamente. No Node.js, Buffer.from(str, 'utf8').toString('base64') é o idioma correto. Quando a string codificada acabar em uma URL ou JWT, mude para a variante segura para URLs. Para experimentos rápidos ou conversões únicas, as ferramentas Codificador Base64, Decodificador Base64, e JSON para Base64 economizam tempo. A página do glossário Base64 do MDN também tem uma sólida referência focada em navegadores se você precisar de uma segunda opinião sobre qualquer um desses pontos.

← All Base64 articles Browse all categories →