Validador de JWT
Cole um JWT para verificar a assinatura e validar as claims. Verifique assinaturas HMAC (HS256, HS384, HS512) com um segredo que você fornece, confira exp, nbf e iat com horários legíveis e, opcionalmente, compare aud e iss. Tudo roda no seu navegador.
100% privado. O token, o segredo e toda a verificação ficam no seu navegador usando a Web Crypto API nativa. Nada é enviado.
O Validador de JWT verifica um JSON Web Token no seu navegador. Cole o token, informe o segredo HMAC e ele confere a assinatura para HS256, HS384 e HS512 usando a Web Crypto API nativa e, em seguida, valida as claims padrão: expiração (exp), não-antes (nbf) e emissão (iat), com horários legíveis. Você também pode fornecer a audiência (aud) e o emissor (iss) esperados para confirmar que correspondem. O cabeçalho e o payload são decodificados e exibidos para inspeção. Nada é enviado; o segredo nunca sai do seu dispositivo.
O que é um validador de JWT?
Um validador de JWT faz mais do que decodificar um token. Decodificar apenas desempacota o cabeçalho e o payload em Base64URL para que você os leia, mas não diz nada sobre o token ser genuíno ou ainda utilizável. Validar significa verificar criptograficamente a assinatura com o segredo ou a chave correta e checar as claims de tempo, para você saber que o token foi emitido por uma parte confiável, não foi adulterado e não expirou. Esta ferramenta verifica assinaturas HMAC e executa o conjunto completo de checagens de claims padrão.
Como verificar um JWT
Cole o token, informe o segredo usado para assiná-lo e, opcionalmente, a audiência e o emissor que você espera. A ferramenta mostra um resultado claro de assinatura válida ou inválida, além de um OK ou falha para cada claim.
- Cole o JWT completo no campo do token.
- Informe o segredo HMAC para tokens HS256, HS384 ou HS512.
- Opcionalmente, preencha a audiência e o emissor esperados.
- Clique em Verificar para checar a assinatura e as claims.
- Revise o resultado da assinatura, as checagens de cada claim e o cabeçalho e o payload decodificados.
Quais algoritmos são suportados?
A verificação de assinatura cobre os algoritmos HMAC simétricos HS256, HS384 e HS512, que assinam e verificam com o mesmo segredo compartilhado. Para algoritmos assimétricos como RS256, ES256 ou PS256, esta ferramenta ainda decodifica o token e valida todas as claims, mas não verifica essas assinaturas, porque elas exigem a chave pública correspondente e um fluxo de verificação diferente. As checagens de claims de expiração, não-antes, emissão, audiência e emissor se aplicam a qualquer token, independentemente do algoritmo.
Por que usar este validador de JWT?
- Verifica assinaturas HS256, HS384 e HS512 com a Web Crypto API nativa.
- Resultado claro de VÁLIDA ou INVÁLIDA, não apenas uma decodificação.
- Confere exp, nbf e iat com horários legíveis.
- Comparação opcional de audiência (aud) e emissor (iss).
- Decodifica e exibe o cabeçalho e o payload para inspeção.
- Totalmente no navegador: o token e o segredo nunca saem do seu dispositivo.
Perguntas frequentes
Meu token ou segredo é enviado para um servidor?
Não. O token é decodificado e a assinatura é verificada inteiramente no seu navegador com a Web Crypto API nativa. Seu segredo, o token e o resultado da verificação nunca são transmitidos, armazenados ou registrados. Você pode confirmar isso observando as ferramentas de rede do navegador enquanto verifica um token.
Qual a diferença para um decodificador de JWT?
Um decodificador apenas desempacota o cabeçalho e o payload para você ler; ele não diz se o token é autêntico ou ainda válido. Este validador, além disso, verifica a assinatura HMAC com o seu segredo e confere as claims de tempo, então você descobre se o token foi de fato assinado com aquele segredo e se está expirado ou ainda não é válido.
Ele consegue verificar tokens RS256 ou ES256?
A verificação de assinatura aqui cobre a família HMAC: HS256, HS384 e HS512. Para RS256, ES256, PS256 e outros algoritmos assimétricos, o token ainda é totalmente decodificado e todas as claims são validadas, mas a assinatura em si não é checada, pois isso exige a chave pública correspondente e um caminho de verificação separado.
Quais claims ele confere?
Ele valida exp (expiração), nbf (não-antes) e iat (emissão), mostrando cada horário de forma legível e sinalizando tokens expirados, ainda não válidos ou emitidos no futuro. Se você fornecer uma audiência ou um emissor esperado, ele também confere as claims aud e iss e informa se correspondem.
Por que meu token válido aparece com assinatura inválida?
A causa mais comum é o segredo errado: a verificação HMAC só funciona quando você informa exatamente o segredo usado para assinar o token, byte a byte. Verifique se não há espaços extras, se o token não foi alterado e se o algoritmo é HS256, HS384 ou HS512. Um único caractere alterado no token ou no segredo corretamente resulta em assinatura inválida.