Gerador de JWT

Um JSON Web Token (JWT) é um formato de token compacto e seguro para URL definido pela RFC 7519. É comumente usado para autenticação e troca segura de informações em aplicações web e APIs. Você pode precisar gerar um JWT para testar um endpoint de API protegido, criar tokens de exemplo para documentação ou depurar um fluxo de autenticação sem executar um backend.

Esta ferramenta funciona inteiramente no seu navegador usando a WebCrypto API. Nenhum dado é enviado a um servidor. Porém, recomendamos usar uma chave secreta de teste em vez da sua chave de produção real, pois as boas práticas ditam nunca inserir credenciais sensíveis em sites de terceiros.

A ferramenta suporta HS256 (HMAC-SHA256), HS384 (HMAC-SHA384) e HS512 (HMAC-SHA512) — os algoritmos de assinatura simétrica mais amplamente usados para JWTs. Também suporta "none" (token não assinado) para fins de teste. Algoritmos assimétricos como RS256 ou ES256 requerem uma chave privada e não são suportados aqui.

Todos os três são algoritmos de assinatura baseados em HMAC que diferem apenas na função hash SHA usada: HS256 usa SHA-256 (assinatura de 256 bits), HS384 usa SHA-384 e HS512 usa SHA-512. HS256 é de longe a escolha mais comum. Use HS384 ou HS512 se precisar de uma assinatura mais forte ou se sua infraestrutura exigir.

O payload é um objeto JSON contendo "claims" — pares chave-valor sobre o sujeito (usuário) ou sessão. Os claims registrados padrão incluem: sub (ID do usuário), iss (emissor), aud (audiência), exp (tempo de expiração), iat (emitido em) e nbf (não antes de). Você também pode adicionar qualquer claim personalizado que sua aplicação precise.

"none" produz um JWT não assinado — a seção de assinatura está vazia. Isso NUNCA deve ser usado em ambientes de produção, pois não oferece proteção de integridade. Pode ser útil para testar parsers ou gerar tokens para sistemas que não verificam assinaturas, mas sempre trate-o como inseguro.

O Auxiliar de Claims Padrão permite adicionar rapidamente claims JWT registrados comuns ao seu payload. Preencha os campos Subject (sub), Issuer (iss) e/ou Audience (aud) e escolha uma janela de expiração. A ferramenta define automaticamente iat para o timestamp Unix atual e calcula exp a partir da janela selecionada.

Um JWT tem três partes separadas por pontos: Header (algoritmo e tipo de token), Payload (claims) e Signature. A divisão exibe cada parte codificada em base64url com código de cores para que você possa identificar visualmente a estrutura do seu token gerado.

As assinaturas baseadas em HMAC são determinísticas — se o header, payload e secret forem idênticos, a saída sempre será a mesma. Se você vir um token diferente, verifique se o claim iat está sendo atualizado automaticamente para o timestamp atual, o que mudaria o payload e portanto a assinatura.

Esta ferramenta é projetada para gerar e assinar tokens. Para decodificar e inspecionar um JWT existente, use a ferramenta JWT Decoder. A verificação criptográfica de assinatura não está implementada atualmente neste gerador — use uma biblioteca dedicada ou o JWT Decoder para verificação.

A ferramenta exibirá uma mensagem de erro vermelha abaixo da área de texto e não gerará um token até que o JSON seja válido. Certifique-se de que todas as chaves e valores de string estejam entre aspas duplas e que a estrutura geral seja um objeto JSON válido.

Para HS256, a chave deve ter pelo menos 32 bytes (256 bits). Para HS384 use pelo menos 48 bytes, e para HS512 pelo menos 64 bytes. Usar uma chave mais curta é tecnicamente permitido mas reduz a segurança.