Decodificador e Verificador JWT

RFC 7519 / 7518 · executado no seu navegador

O que é verificado

Após decodificar o cabeçalho e a carga útil, esta página verifica a assinatura contra uma chave que você fornece. A assinatura é calculada sobre os bytes exatos de base64url(header)+"."+base64url(payload) e comparada ao terceiro segmento usando o algoritmo declarado no cabeçalho.

This page handles every standard JWT signing family:

• HS256/HS384/HS512 — assinaturas simétricas (HMAC), verificadas com o segredo compartilhado.
• RS256/RS384/RS512 — assinaturas RSA-PKCS#1 v1.5, verificadas com a chave pública RSA do emissor (PEM SPKI).
• PS256/PS384/PS512 — assinaturas RSA-PSS, verificadas com a mesma forma de chave pública RSA.
• ES256/ES384/ES512 — assinaturas ECDSA em P-256 / P-384 / P-521, verificadas com a chave pública EC correspondente.

Reivindicações de tempo

Três reivindicações de tempo padrão são interpretadas automaticamente:

• iat (emitido em) — quando o token foi cunhado.
• nbf (não antes de) — o momento mais cedo em que o token é válido.
• exp (expira em) — o momento mais tardio em que o token é válido.

Casos de uso comuns

• Decodificar um token opaco <code>Authorization: Bearer …</code> para ver exatamente quais reivindicações seu cliente está enviando ou seu servidor está recebendo.
• Confirmar a assinatura de um ID Token OIDC contra a chave pública do emissor antes de confiar nas reivindicações.
• Verificar que um JWT de serviço interno foi assinado com o segredo compartilhado esperado.
• Verificar que um token que deveria expirar é de fato rejeitado &mdash; cole-o aqui e compare com a contagem regressiva <code>exp</code> ao vivo.

Privacidade

Tokens, segredos e chaves que você cola são processados apenas no seu navegador. Não há ida e volta de rede; a chave de verificação fica em memória apenas enquanto a página estiver aberta e nunca é armazenada ou registrada em qualquer lugar.