Validador de JWT

Cole um JWT para verificar a assinatura e validar as claims. Verifique assinaturas HMAC (HS256, HS384, HS512) com um segredo que você fornece, confira exp, nbf e iat com horários legíveis e, opcionalmente, compare aud e iss. Tudo roda no seu navegador.

100% privado. O token, o segredo e toda a verificação ficam no seu navegador usando a Web Crypto API nativa. Nada é enviado.

O Validador de JWT verifica um JSON Web Token no seu navegador. Cole o token, informe o segredo HMAC e ele confere a assinatura para HS256, HS384 e HS512 usando a Web Crypto API nativa e, em seguida, valida as claims padrão: expiração (exp), não-antes (nbf) e emissão (iat), com horários legíveis. Você também pode fornecer a audiência (aud) e o emissor (iss) esperados para confirmar que correspondem. O cabeçalho e o payload são decodificados e exibidos para inspeção. Nada é enviado; o segredo nunca sai do seu dispositivo.

O que é um validador de JWT?

Um validador de JWT faz mais do que decodificar um token. Decodificar apenas desempacota o cabeçalho e o payload em Base64URL para que você os leia, mas não diz nada sobre o token ser genuíno ou ainda utilizável. Validar significa verificar criptograficamente a assinatura com o segredo ou a chave correta e checar as claims de tempo, para você saber que o token foi emitido por uma parte confiável, não foi adulterado e não expirou. Esta ferramenta verifica assinaturas HMAC e executa o conjunto completo de checagens de claims padrão.

Como verificar um JWT

Cole o token, informe o segredo usado para assiná-lo e, opcionalmente, a audiência e o emissor que você espera. A ferramenta mostra um resultado claro de assinatura válida ou inválida, além de um OK ou falha para cada claim.

  1. Cole o JWT completo no campo do token.
  2. Informe o segredo HMAC para tokens HS256, HS384 ou HS512.
  3. Opcionalmente, preencha a audiência e o emissor esperados.
  4. Clique em Verificar para checar a assinatura e as claims.
  5. Revise o resultado da assinatura, as checagens de cada claim e o cabeçalho e o payload decodificados.

Quais algoritmos são suportados?

A verificação de assinatura cobre os algoritmos HMAC simétricos HS256, HS384 e HS512, que assinam e verificam com o mesmo segredo compartilhado. Para algoritmos assimétricos como RS256, ES256 ou PS256, esta ferramenta ainda decodifica o token e valida todas as claims, mas não verifica essas assinaturas, porque elas exigem a chave pública correspondente e um fluxo de verificação diferente. As checagens de claims de expiração, não-antes, emissão, audiência e emissor se aplicam a qualquer token, independentemente do algoritmo.

Por que usar este validador de JWT?

  • Verifica assinaturas HS256, HS384 e HS512 com a Web Crypto API nativa.
  • Resultado claro de VÁLIDA ou INVÁLIDA, não apenas uma decodificação.
  • Confere exp, nbf e iat com horários legíveis.
  • Comparação opcional de audiência (aud) e emissor (iss).
  • Decodifica e exibe o cabeçalho e o payload para inspeção.
  • Totalmente no navegador: o token e o segredo nunca saem do seu dispositivo.

Perguntas frequentes

Meu token ou segredo é enviado para um servidor?

Não. O token é decodificado e a assinatura é verificada inteiramente no seu navegador com a Web Crypto API nativa. Seu segredo, o token e o resultado da verificação nunca são transmitidos, armazenados ou registrados. Você pode confirmar isso observando as ferramentas de rede do navegador enquanto verifica um token.

Qual a diferença para um decodificador de JWT?

Um decodificador apenas desempacota o cabeçalho e o payload para você ler; ele não diz se o token é autêntico ou ainda válido. Este validador, além disso, verifica a assinatura HMAC com o seu segredo e confere as claims de tempo, então você descobre se o token foi de fato assinado com aquele segredo e se está expirado ou ainda não é válido.

Ele consegue verificar tokens RS256 ou ES256?

A verificação de assinatura aqui cobre a família HMAC: HS256, HS384 e HS512. Para RS256, ES256, PS256 e outros algoritmos assimétricos, o token ainda é totalmente decodificado e todas as claims são validadas, mas a assinatura em si não é checada, pois isso exige a chave pública correspondente e um caminho de verificação separado.

Quais claims ele confere?

Ele valida exp (expiração), nbf (não-antes) e iat (emissão), mostrando cada horário de forma legível e sinalizando tokens expirados, ainda não válidos ou emitidos no futuro. Se você fornecer uma audiência ou um emissor esperado, ele também confere as claims aud e iss e informa se correspondem.

Por que meu token válido aparece com assinatura inválida?

A causa mais comum é o segredo errado: a verificação HMAC só funciona quando você informa exatamente o segredo usado para assinar o token, byte a byte. Verifique se não há espaços extras, se o token não foi alterado e se o algoritmo é HS256, HS384 ou HS512. Um único caractere alterado no token ou no segredo corretamente resulta em assinatura inválida.