Monu Tools

Gerador de JWT

Crie e assine tokens HS256 JSON Web Token a partir de um payload e segredo, direto no navegador.

Como usar Gerador de JWT

  1. 01

    Edite o payload como um objeto JSON.

  2. 02

    Digite seu segredo HS256.

  3. 03

    Gere e copie o token assinado.

Assine tokens no navegador

Um gerador de JWT que constrói e assina JSON Web Tokens a partir do seu payload e segredo, inteiramente no seu navegador usando a Web Crypto API. Ele se combina com o decodificador de JWT, que inspeciona um token existente.

Como um JWT é montado

Um JWT tem três partes separadas por pontos: um cabeçalho, um payload de claims e uma assinatura, cada um codificado em Base64url. A assinatura é o que torna o token confiável: ela prova que o payload não foi alterado e foi emitido por alguém que detém o segredo.

HS256 e seu segredo

Esta ferramenta assina com HS256, que é HMAC usando SHA-256, o algoritmo simétrico de JWT mais comum. O mesmo segredo tanto assina quanto verifica o token, então ele deve ser mantido privado no servidor.

Para HS256, use um segredo longo e aleatório. Um segredo curto ou fácil de adivinhar mina o token inteiro, já que qualquer um que o adivinhe pode cunhar tokens válidos próprios.

Codificado, não criptografado

Um ponto importante sobre JWTs: o payload é apenas codificado, não criptografado. Qualquer um com o token pode ler seus claims decodificando-os de Base64, então nunca coloque senhas ou dados sensíveis em um JWT. A assinatura impede a adulteração, ela não fornece sigilo.

Nota de segurança

Como a assinatura acontece localmente, seu segredo e payload nunca saem do seu dispositivo. Mesmo assim, evite colar segredos reais de produção em um computador compartilhado ou público.

Perguntas frequentes

Qual algoritmo é usado?

HS256 (HMAC com SHA-256), o algoritmo JWT simétrico mais comum, assinado no navegador com a Web Crypto API.

Meu segredo é enviado para algum lugar?

Não. A assinatura acontece inteiramente no seu navegador, portanto o segredo e o payload nunca saem do dispositivo. Mesmo assim, evite usar segredos reais de produção em computadores compartilhados.

Posso decodificar um token também?

Sim, use a ferramenta de decodificador de JWT para inspecionar o header e o payload de um token existente.

Fontes

Incorpore esta ferramenta

Adicione esta ferramenta ao seu próprio site. Copie o trecho abaixo; ele se mantém atualizado automaticamente.

<iframe src="https://monu.tools/embed/pt-BR/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Ferramentas relacionadas