Verificador de Assinatura JWT

Enquanto o decodificador de JWT revela quais informações um token contém, o verificador de assinatura prova que o token é legítimo. A assinatura de um JWT é criada fazendo hash do cabeçalho e do payload com uma chave secreta — apenas o servidor que criou o token pode produzir uma assinatura válida. Esta ferramenta verifica assinaturas JWT baseadas em HMAC (HS256, HS384, HS512).

Processo de verificação de assinatura

Quando você recebe um JWT, a assinatura prova duas coisas: (1) o token foi criado por alguém com a chave secreta, e (2) o cabeçalho e o payload não foram modificados desde a criação. Para verificar, você pega o cabeçalho e o payload, aplica o mesmo algoritmo HMAC com a chave secreta e compara o resultado com a assinatura. Se coincidirem, o token é válido e confiável.

HMAC vs. assinatura assimétrica

Assinaturas HMAC (HS256, HS384, HS512) usam um segredo compartilhado — tanto o servidor que cria o token quanto o cliente que o verifica conhecem o mesmo segredo. Para APIs públicas onde você não pode compartilhar um segredo com os usuários, a assinatura assimétrica (RS256, ES256) é melhor.

Depurando falhas de autenticação

Se um cliente afirma que seu token é válido, mas seu servidor o rejeita, esta ferramenta ajuda a diagnosticar o problema. Cole o token e o segredo que seu servidor usa, depois verifique a assinatura.

Desenvolvimento e testes

Esta ferramenta é inestimável para testar fluxos de autenticação sem executar seu backend completo. Gere um JWT, cole aqui com seu segredo para verificar se foi assinado corretamente ou modifique manualmente o payload e confirme que a assinatura falha.