Sobre o Gerador de JWT
O Gerador de JWT cria um JSON Web Token assinado de verdade com o algoritmo HS256, direto no seu navegador. Você informa o payload (em JSON) e uma chave secreta, e a ferramenta monta as três partes do token, calcula a assinatura HMAC-SHA256 e devolve o JWT pronto para colar em testes de API, headers Authorization: Bearer, mocks e estudos. É o complemento natural do nosso decodificador de JWT: aqui você produz o token; lá você inspeciona o conteúdo.
Como funciona
Um JWT tem três partes separadas por ponto: header.payload.signature. O header declara o algoritmo e o tipo, sempre {"alg":"HS256","typ":"JWT"} nesta ferramenta. O payload carrega os claims (afirmações) — como sub (sujeito), name e flags personalizadas. A ferramenta acrescenta automaticamente os claims de tempo: iat (issued at, momento da emissão) e exp (expiração), ambos em Unix timestamp de segundos; o exp usa o intervalo que você definir.
Header e payload são serializados em JSON e codificados em Base64URL — uma variante do Base64 que troca + por -, / por _ e remove o preenchimento =, deixando o texto seguro para URLs. A assinatura é o resultado de HMAC-SHA256(base64url(header) + "." + base64url(payload), secret), também em Base64URL. Usamos a Web Crypto API (crypto.subtle.importKey com a chave em formato raw e crypto.subtle.sign) para calcular o HMAC localmente. Por isso a operação é assíncrona — nada é enviado a servidor.
HS256 é simétrico: a mesma chave secreta que assina é a que valida. Qualquer alteração no header, no payload ou na chave produz uma assinatura completamente diferente — é assim que o servidor detecta tokens adulterados.
Para que serve
- Testar autenticação de APIs — gere um Bearer token rápido para Postman, Insomnia, cURL ou testes automatizados.
- Validar middleware de JWT — confira se sua aplicação aceita a assinatura quando a chave bate e rejeita quando não bate.
- Simular claims e expiração — teste cenários de token expirado ajustando o campo de segundos.
- Estudar a estrutura do token — visualize header, payload e signature decodificados para aprender como o JWT é montado.
- Prototipar integrações — produza tokens de exemplo para documentação, demos e provas de conceito.
Perguntas frequentes
O token gerado é válido de verdade?
Sim. A assinatura é um HMAC-SHA256 real calculado com a sua chave secreta. Qualquer biblioteca de JWT vai validá-lo desde que use a mesma chave e o algoritmo HS256.
Meu payload e minha chave secreta saem do navegador?
Não. Toda a geração e a assinatura acontecem localmente via Web Crypto API. Nenhum dado é enviado a servidores — você pode conferir no DevTools.
Por que precisa do secret para validar a assinatura?
HS256 é simétrico: a mesma chave assina e verifica. Sem o secret correto é impossível recalcular a assinatura, e é justamente isso que impede a falsificação de tokens.
Qual a diferença entre gerar e decodificar um JWT?
Decodificar só lê o header e o payload (que são Base64URL, não criptografados). Gerar cria as três partes e assina o token com a sua chave — algo que o decodificador não faz por não ter o secret.
