Codificar JWT Online
Crie tokens JWT assinados com HMAC-SHA256 para testes e desenvolvimento. Gratuito, no seu navegador, sem upload de dados.
Por que usar este encoder
JWT para desenvolvimento, sem complicação
Privacidade total
O token é gerado usando a Web Crypto API diretamente no seu navegador. Nem o payload nem a chave secreta saem do seu dispositivo.
Assinatura criptográfica real
Usamos HMAC-SHA256 via Web Crypto API — o mesmo algoritmo que servidores de produção usam. O token é válido e verificável.
Compatível com qualquer biblioteca JWT
O token gerado segue o padrão RFC 7519. Funciona com jsonwebtoken (Node.js), PyJWT (Python), java-jwt e qualquer implementação compatível.
Instantâneo, sem dependência de rede
Sem chamadas a servidores. A geração acontece em milissegundos independentemente da sua conexão.
Como funciona
Três passos, sem complicação
Defina o payload
Escreva o payload JSON com as claims que você precisa: sub, exp, iat ou qualquer campo personalizado.
Insira sua chave secreta
Digite a chave secreta para assinatura HMAC-SHA256. Use apenas chaves de teste — nunca insira segredos de produção em ferramentas de navegador.
Copie o token gerado
O token JWT assinado é gerado instantaneamente no seu navegador. Copie-o para usar em seus testes de API.
Perguntas frequentes
Ficou com dúvidas?
HMAC-SHA256 é um algoritmo de assinatura que combina sua chave secreta com o header e payload codificados em Base64URL para produzir uma assinatura criptográfica. Isso garante que o token não foi adulterado.
NAO — nunca insira chaves secretas de produção em ferramentas de navegador. Esta ferramenta é para gerar tokens de teste em ambientes de desenvolvimento. As chaves ficam no seu dispositivo, mas o risco de exposição existe sempre que você digita segredos reais em qualquer campo de texto na web.
HS256 (HMAC-SHA256) é o algoritmo padrão e mais comum para JWTs simétricos. É o padrão para a maioria das implementações que não exigem criptografia assimétrica (RS256/ES256).
Sim. O token JWT gerado pode ser decodificado com nossa ferramenta JWT Decode para verificar o header e o payload. Lembre-se de que o payload é apenas codificado em Base64URL, não criptografado — qualquer pessoa pode ler seu conteúdo.
Sim. Adicione qualquer par chave-valor JSON ao payload. Claims padrão como sub (subject), iss (issuer) e aud (audience) são tratadas da mesma forma que as personalizadas — são simplesmente convenções do padrão JWT.
exp (expiração) e iat (emitido em) são timestamps Unix em segundos. Para um token que expira em 1 hora: iat é o timestamp atual e exp é iat + 3600. Você pode obter o timestamp atual com Date.now()/1000 no console do navegador.
Fluxo de criação de JWT, processo de assinatura HMAC-SHA256, Web Crypto API para criptografia e testes de JWT em desenvolvimento de APIs
JSON Web Token (JWT) é um padrão aberto (RFC 7519) que define um formato compacto e autossuficiente para transmitir informações com segurança entre partes como um objeto JSON. Um JWT é composto por três partes separadas por pontos: o header (tipo de token e algoritmo de assinatura), o payload (as claims ou afirmações) e a assinatura (assinatura criptográfica). Cada parte é codificada em Base64URL, tornando o token seguro para uso em URLs e headers HTTP.
O algoritmo HS256 (HMAC com SHA-256) é o mais comum para JWTs simétricos: tanto o emissor quanto o receptor compartilham a mesma chave secreta. A assinatura é calculada como HMAC-SHA256(Base64URL(header) + '.' + Base64URL(payload), secret). A Web Crypto API do navegador implementa HMAC-SHA256 nativamente, permitindo a geração de tokens criptograficamente válidos sem enviar nenhum dado a um servidor.
No desenvolvimento de APIs REST, o JWT é usado principalmente para autenticação sem estado: o servidor gera um token no login, o cliente o armazena (localStorage ou cookie httpOnly) e o envia no header Authorization: Bearer com cada requisição. O servidor precisa apenas verificar a assinatura com sua chave secreta, sem consultar o banco de dados. As claims padrão mais importantes são sub (identificador do usuário), exp (tempo de expiração em segundos Unix), iat (momento da emissão) e iss (emissor do token).