— Sobre esta ferramenta
Um JSON Web Token (JWT) é um token assinado e seguro para URLs com três partes — header, payload e assinatura — usado para transportar declarações de autenticação entre serviços. Este gerador pega o seu payload JSON, assina-o com o algoritmo e a chave que você escolher e gera um token pronto para uso. Para HS256/384/512 você fornece um segredo compartilhado; para RS256 você cola uma chave privada PKCS#8 e a chave pública correspondente a verifica em outro lugar.
A assinatura acontece localmente com a biblioteca jose sobre a Web Crypto API, então o seu payload e as suas chaves nunca chegam a um servidor. Use-o para gerar tokens de teste para uma API, reproduzir um bug de autenticação ou entender exatamente em que um determinado header e payload são assinados. Para inspecionar um token existente, use o decodificador de JWT.
Seu payload e sua chave de assinatura permanecem no seu navegador — o token é assinado localmente.
Perguntas frequentes
Qual é a diferença entre HS256 e RS256?
O HS256 usa um único segredo compartilhado tanto para assinar quanto para verificar (simétrico). O RS256 usa uma chave privada para assinar e uma chave pública separada para verificar (assimétrico), o que permite distribuir a chave pública sem expor a capacidade de assinar. Escolha de acordo com o que o seu verificador espera.
Isso define exp, iat ou outras claims automaticamente?
Não — ele assina exatamente o payload que você fornece, então você mantém o controle. Adicione claims registradas como exp (expiração) ou iat (issued-at) ao seu JSON manualmente, como timestamps Unix em segundos.
Como leio um token que já tenho?
Use o decodificador de JWT, que divide um token em seu header e payload e mostra as claims sem precisar do segredo.