Gerador JWT

Bem-vindo ao Gerador JWT, uma ferramenta online rápida e gratuita para criar JSON Web Tokens assinados. Se você estiver testando um fluxo de autenticação, construindo uma API, depurando uma integração ou aprendendo como os JWTs funcionam internamente, este gerador oferece controle total sobre o cabeçalho do token, claims de payload e algoritmo de assinatura HMAC. Gere um token HS256, HS384 ou HS512 válido com um clique e inspecione cada segmento lado a lado.

O Que É um JSON Web Token?

Um JSON Web Token (JWT) é um formato de credencial compacto e seguro para URL definido pela RFC 7519. Um JWT transporta claims sobre um sujeito entre duas partes e prova sua integridade através de uma assinatura criptográfica. Como o token é autossuficiente, o destinatário pode validá-lo sem consultar o emissor — uma propriedade que torna os JWTs a espinha dorsal da autenticação stateless para aplicações web e móveis modernas.

Todo JWT é construído a partir de três partes codificadas em base64url unidas por pontos:

• Cabeçalho (Header) — um objeto JSON que declara o tipo de token (typ) e o algoritmo de assinatura (alg).
• Payload — um objeto JSON que contém as claims, como o ID do usuário, tempo de expiração e quaisquer dados personalizados.
• Assinatura (Signature) — uma assinatura HMAC ou RSA sobre o cabeçalho e payload codificados que os protege contra adulteração.

Como Funciona o Gerador JWT

Esta ferramenta segue a receita exata de assinatura JWT da RFC 7519 §7.1:

1. Serializa o JSON do cabeçalho para sua forma compacta (sem espaços em branco) e o codifica em base64url.
2. Faz o mesmo para o JSON do payload.
3. Concatena os dois com um separador de ponto. Esta é a entrada da assinatura.
4. Calcula o HMAC da entrada da assinatura usando seu segredo e o algoritmo SHA-2 escolhido.
5. Codifica em base64url os bytes da assinatura resultante.
6. Concatena tudo como cabeçalho.payload.assinatura.

O Que Torna Este Gerador Diferente

• Visualização colorida de três segmentos — cabeçalho (rosa), payload (roxo), assinatura (ciano) para que você possa identificar cada parte instantaneamente.
• Paleta de Claims Rápidas — inserção com um clique de iss, sub, aud, iat, nbf e jti.
• Auxiliar de expiração — botões predefinidos para 1 hora, 1 dia, 7 dias ou 30 dias que calculam o timestamp Unix correto automaticamente.
• Visualização de token ao vivo — o cabeçalho e payload codificados são atualizados conforme você digita, permitindo ver como cada edição altera o token.
• Sincronização inteligente de cabeçalho — a troca de algoritmo atualiza o campo alg do cabeçalho automaticamente.
• Alternância de segredo Base64 — se seu segredo estiver armazenado como base64 (a convenção JWS para chaves binárias), ative a opção e a ferramenta o decodificará antes de assinar.
• Botões de cópia por segmento — copie o cabeçalho, payload, assinatura ou token completo independentemente.
• Resumo de claims — claims padrão reconhecidas são listadas com uma descrição e um timestamp legível por humanos quando aplicável.

Escolhendo o Algoritmo Certo

As três variantes HMAC que esta ferramenta suporta são funcionalmente idênticas, exceto pelo hash SHA-2 subjacente e pelo comprimento da assinatura:

• HS256 — HMAC com SHA-256. Assinatura de 256 bits. O padrão para quase todas as bibliotecas de emissão de JWT e a escolha com maior interoperabilidade.
• HS384 — HMAC com SHA-384. Assinatura de 384 bits. Margem ligeiramente maior contra criptoanálise futura.
• HS512 — HMAC com SHA-512. Assinatura de 512 bits. Útil quando a política exige o hash padrão mais longo.

Todos os três dependem de um segredo compartilhado que tanto o assinante quanto o verificador possuem. A RFC 7518 §3.2 exige que a chave seja pelo menos tão longa quanto a saída do hash: 256 bits para HS256, 384 bits para HS384, 512 bits para HS512.

Claims Registradas Padrão

A RFC 7519 §4.1 define um pequeno conjunto de claims padrão que emissores e verificadores de JWT devem reconhecer. Todas são opcionais, mas amplamente suportadas:

• iss (issuer) — identifica quem criou o token. Geralmente um URL ou nome de serviço.
• sub (subject) — identifica sobre quem é o token, normalmente um ID de usuário.
• aud (audience) — identifica o destinatário ao qual o token se destina. Pode ser uma string única ou um array.
• exp (expiration time) — timestamp Unix após o qual o token deve ser rejeitado.
• nbf (not before) — timestamp Unix antes do qual o token não deve ser aceito.
• iat (issued at) — timestamp Unix que registra quando o token foi criado.
• jti (JWT ID) — um identificador exclusivo que permite que os tokens sejam revogados ou rastreados individualmente.

Como Usar Esta Ferramenta

1. Escolha um algoritmo de assinatura — clique em HS256, HS384 ou HS512. O cabeçalho é atualizado automaticamente para corresponder.
2. Edite o cabeçalho (opcional) — o cabeçalho padrão contém alg e typ. Adicione um kid (ID da chave) personalizado se o seu verificador precisar de um.
3. Construa o payload — digite suas claims como JSON ou clique nos botões de Claims Rápidas para inserir campos padrão. O auxiliar de expiração escreve um timestamp Unix correto para a duração relativa escolhida.
4. Defina o segredo — insira seu segredo compartilhado HMAC. Clique no ícone do olho para revelá-lo. Se o seu segredo for codificado em base64, marque a caixa de seleção para que a ferramenta o decodifique antes de assinar.
5. Gere o JWT — clique em Gerar JWT. O token completo, os cartões dos três segmentos, o diagrama de estrutura e o resumo das claims reconhecidas serão renderizados juntos.
6. Copie o que precisar — use os botões de cópia por segmento ou o botão Copiar Token para levar o valor codificado para o Postman, curl ou seu aplicativo cliente.

Casos de Uso Comuns

Autenticação e Autorização

• Emitir tokens de acesso após um login bem-sucedido.
• Codificar a identidade do usuário (sub) além de claims de função ou permissão.
• Assinar tokens de curta duração (15–60 minutos) e atualizá-los conforme necessário.

Testes de Integração de API

• Criar tokens mock para testar como sua API responde a claims expiradas, datadas no futuro ou malformadas.
• Gerar JWTs fixos para testes unitários e pipelines de CI.
• Reproduzir tokens semelhantes aos de produção em um ambiente local sem acessar o servidor de autenticação real.

Depuração de Single Sign-On (SSO)

• Comparar um JWT sabidamente bom com um que seu provedor está enviando para encontrar divergências de especificação.
• Verificar o algoritmo de assinatura e o ID da chave (kid) usados por um emissor upstream.

Perguntas Frequentes

O JWT criado aqui é um token real e válido?

Sim. O token é assinado com HMAC sobre o cabeçalho e payload codificados canônicos. Qualquer biblioteca JWT que use o seu mesmo segredo o validará com sucesso.

Por que meu token parece idêntico ao que eu gero em outro lugar?

Porque os JWTs são determinísticos: dado o mesmo cabeçalho, payload e segredo, cada biblioteca em conformidade produz exatamente a mesma string. Se você vir uma diferença, verifique se a ordem de serialização JSON, a ortografia da chave e a codificação do segredo coincidem.

Posso decodificar um JWT para verificar o que gerei?

Sim. Combine esta ferramenta com um decodificador JWT para inspecionar os segmentos. A decodificação apenas reverte a etapa base64url — a verificação da assinatura ainda requer o segredo.

Por que meu segredo é rejeitado por ser muito curto?

A RFC 7518 recomenda uma chave de pelo menos o comprimento da saída do hash: 256 bits para HS256. A ferramenta em si não impõe um mínimo, mas um verificador bem comportado pode rejeitar chaves curtas. Use um segredo de 32+ bytes gerado aleatoriamente no uso real.

Esta ferramenta suporta RS256, ES256 ou EdDSA?

Ainda não — esta ferramenta foca em algoritmos baseados em HMAC porque eles precisam apenas de uma string compartilhada. Algoritmos assimétricos (RS*, PS*, ES*, EdDSA) exigem pares de chaves e manipulação de PEM que são mais adequados para ferramentas dedicadas.

Meu segredo e payload são enviados para o servidor?

O formulário é enviado via HTTPS para calcular a assinatura. Nada é registrado ou armazenado além do tempo de vida da requisição. De qualquer forma, não insira segredos de produção aqui — trate-o como um ambiente de teste público.

Recursos Adicionais

• RFC 7519 - JSON Web Token (JWT)
• RFC 7515 - JSON Web Signature (JWS)
• RFC 7518 - JSON Web Algorithms (JWA)
• JSON Web Token - Wikipédia