Ferramentas JWT — Decodificar, Verificar e Assinar

Decodifique JWTs, verifique assinaturas HS, RS e ES com um segredo ou chave pública PEM, e assine novos tokens HS — tudo inteiramente no seu navegador.

Carregando ferramenta…

Ferramentas JWT — Decodificar, Verificar e AssinarUm kit completo para JSON Web Tokens com três modos — Decodificar, Verificar e Assinar. Decodificar exibe formatado o cabeçalho e o payload de um token, Verificar checa a assinatura com um segredo HMAC (HS256/384/512) ou uma chave pública PEM (RS256/384/512, ES256/384/512), e Assinar gera um novo token assinado em HS a partir do seu cabeçalho, payload e segredo. Toda operação roda inteiramente no lado do cliente com a Web Crypto API integrada do navegador, então tokens, segredos e chaves nunca saem da sua máquina.

O que é Ferramentas JWT — Decodificar, Verificar e Assinar?

Ferramentas JWT é um utilitário gratuito e completo para JSON Web Tokens que reúne um decodificador, um verificador de assinatura e um assinador HS em um só lugar. No modo Decodificar, ele decodifica em base64url um token header.payload.signature e exibe o cabeçalho e o payload como JSON formatado. No modo Verificar, ele lê o alg do cabeçalho do token e checa a assinatura com a Web Crypto API: um segredo HMAC compartilhado para HS256, HS384 e HS512, ou uma chave pública no formato PEM para RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) e ES256/ES384/ES512 (ECDSA). No modo Assinar, ele constrói e assina em HMAC um token totalmente novo a partir de um JSON de cabeçalho, um JSON de payload, um algoritmo HS escolhido e um segredo. Foi feito para engenheiros de backend e frontend, testadores de QA e integradores de API que depuram autenticação, sessões OAuth/OIDC e expiração de tokens sem colar segredos em um serviço remoto.

Como usar Ferramentas JWT — Decodificar, Verificar e Assinar

  1. Escolha um modo no topo: Decodificar, Verificar ou Assinar.
  2. Decodificar: cole um JWT (header.payload.signature) na caixa do token e leia o cabeçalho e o payload formatados abaixo — nenhuma verificação de assinatura é feita aqui.
  3. Verificar: cole o token e depois o segredo HMAC (para algoritmos HS) ou a chave pública PEM (para RS/ES) na caixa da chave; a ferramenta lê o alg do cabeçalho e mostra um resultado verde 'válido' ou vermelho 'inválido'.
  4. Assinar: insira um JSON de cabeçalho e um JSON de payload, escolha HS256, HS384 ou HS512, digite seu segredo e copie o token recém-assinado que aparece.
  5. Use o botão Copiar em qualquer saída, ou Limpar para redefinir a entrada de decodificação.

Exemplos

Decodificar um token

Entrada

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig

Saída

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload:
{
  "sub": "1234"
}

Verificar um token HS256

Entrada

token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.<sig>
secret: your-256-bit-secret

Saída

valid (HS256)

Assinar um novo token HS256

Entrada

header: {}
payload: { "sub": "1234567890", "name": "Jane Doe" }
secret: your-256-bit-secret

Saída

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIn0.<signature>

Perguntas frequentes

Meus tokens, segredos e chaves são enviados para algum lugar?
Não. Todo modo roda inteiramente no lado do cliente no seu navegador usando a Web Crypto API integrada (crypto.subtle) para HMAC e verificação de assinatura, além de base64url e JSON em JavaScript. Nada — nem o token, nem o segredo, nem a chave PEM — é enviado a qualquer servidor, o que torna seguro trabalhar com credenciais de produção.
Quais algoritmos ele pode verificar?
Verificar suporta HS256, HS384 e HS512 com um segredo HMAC compartilhado, e RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) e ES256/ES384/ES512 (ECDSA) com uma chave pública no formato PEM. Ele lê automaticamente o campo alg do cabeçalho do token, então você só fornece o segredo ou a chave pública correspondente.
Com quais algoritmos ele pode assinar?
O modo Assinar gera apenas tokens assinados em HMAC — HS256, HS384 ou HS512 — a partir do seu JSON de cabeçalho, JSON de payload e um segredo. A assinatura RSA e ECDSA precisa de uma chave privada e está fora do escopo aqui; para RS/ES você ainda pode verificar com a chave pública correspondente no modo Verificar.
O modo Decodificar verifica a assinatura?
Não. Decodificar apenas decodifica em base64url e exibe formatado o cabeçalho e o payload — ele nunca valida a assinatura. Mude para o modo Verificar e forneça um segredo ou chave pública para confirmar que um token é autêntico, e nunca confie em um payload decodificado até que sua assinatura seja verificada.
Por que a verificação diz inválido ou erro?
'Inválido' significa que a assinatura não corresponde ao segredo ou à chave que você forneceu. Já um 'erro' significa que a entrada não pôde ser processada — por exemplo, o token não tem o segmento de assinatura, o alg não é suportado, ou a chave pública PEM não pôde ser analisada. Verifique se você colou o token completo e a chave correta para o seu algoritmo.

Ferramentas relacionadas

Criptografia de texto AES (AES-GCM + PBKDF2)

Criptografe e descriptografe texto com AES-256-GCM usando uma chave derivada de uma frase secreta (PBKDF2 SHA-256, sal aleatório), inteiramente no seu navegador e sem envios.

Hash Argon2 e scrypt

Faça o hash de uma senha com Argon2id ou scrypt e verifique um hash Argon2 em relação a uma senha, inteiramente no seu navegador.

Gerador e Verificador de Hash Bcrypt

Gere um hash de senha bcrypt a partir de texto simples com o fator de custo que escolher, ou verifique uma senha em relação a um hash bcrypt existente, tudo no seu navegador.

Gerador de mnemônico BIP39

Gere uma frase de recuperação BIP39 aleatória de 12 a 24 palavras em vários idiomas, ou converta um mnemônico existente de volta em sua entropia bruta, tudo no seu navegador.