Monu Tools

Gerador de JWT

Crie e assine JSON Web Tokens HS256 a partir de um payload e segredo, inteiramente no seu navegador.

Como usar o/a Gerador de JWT

  1. 01

    Edite o payload como um objeto JSON.

  2. 02

    Introduza o seu segredo HS256.

  3. 03

    Gere e copie o token assinado.

Assina tokens no navegador

Um gerador de JWT que constrói e assina JSON Web Tokens a partir da sua carga útil e do seu segredo, inteiramente no seu navegador usando a Web Crypto API. Combina com o descodificador de JWT, que inspeciona um token existente.

Como um JWT é montado

Um JWT tem três partes separadas por pontos: um cabeçalho, uma carga útil de reivindicações, e uma assinatura, cada uma codificada em Base64url. A assinatura é o que torna o token fidedigno: prova que a carga útil não foi alterada e que foi emitida por alguém que detém o segredo.

HS256 e o seu segredo

Esta ferramenta assina com HS256, ou seja, HMAC usando SHA-256, o algoritmo JWT simétrico mais comum. O mesmo segredo assina e verifica o token, por isso tem de ser mantido privado no servidor.

Para o HS256, usa um segredo longo e aleatório. Um segredo curto ou adivinhável mina todo o token, já que qualquer pessoa que o adivinhe pode cunhar tokens válidos por conta própria.

Codificado, não encriptado

Um ponto importante sobre os JWT: a carga útil é apenas codificada, não encriptada. Qualquer pessoa com o token pode ler as suas reivindicações descodificando-as em Base64, por isso nunca coloque palavras-passe ou dados sensíveis num JWT. A assinatura impede a adulteração, não fornece sigilo.

Nota de segurança

Como a assinatura acontece localmente, o seu segredo e a sua carga útil nunca saem do seu dispositivo. Ainda assim, evita colar segredos reais de produção num computador partilhado ou público.

Perguntas frequentes

Que algoritmo é usado?

HS256 (HMAC com SHA-256), o algoritmo de JWT simétrico mais comum, assinado no seu navegador com a Web Crypto API.

O meu segredo é enviado para algum lado?

Não. A assinatura decorre inteiramente no seu navegador, por isso o segredo e o payload nunca saem do seu dispositivo. Ainda assim, evite segredos reais de produção em máquinas partilhadas.

Também posso descodificar um token?

Sim, use a ferramenta de descodificação de JWT para inspecionar o cabeçalho e o payload de um token existente.

Fontes

Incorporar esta ferramenta

Adicione esta ferramenta ao seu próprio site. Copie o excerto abaixo; mantém-se atualizado automaticamente.

<iframe src="https://monu.tools/embed/pt/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Ferramentas relacionadas