Inspetor e Verificador JWT

Decodifica o header/payload do JWT com destaque, diagnostica claims padrão, verifica a assinatura com chaves HS*/RS*/PS*/ES*/EdDSA e oferece uma demo de falsificação

Cole um JWT compacto (JWS) e a ferramenta:

  1. Decodifica o header e o payload (base64url) em JSON legível e com destaque.
  2. Diagnostica claims padrão (exp / nbf / iat / iss / aud / sub / jti), marcando expirados, ainda não válidos ou ausentes.
  3. Verifica a assinatura com um segredo compartilhado (HS) ou uma chave pública assimétrica PEM/JWK (RS/PS/ES/EdDSA).
  4. Opcionalmente, reassina um payload adulterado com sua chave para mostrar por que um verificador DEVE fixar o alg esperado e rejeitar tokens assinados pela parte errada.

Notas de segurança:

  • A verificação acontece no servidor com Node crypto; o segredo/chave não sai da requisição.
  • Tokens alg=none são detectados e nunca aceitos como válidos.
  • Sempre force o algoritmo, issuer e audience esperados no seu backend; esta ferramenta é para inspeção e ensino.

Exemplos de resultados

1 Exemplos

Decodificar e verificar um token HS256 de exemplo

Mostra header, payload, diagnóstico de claims e a verificação de assinatura com segredo compartilhado.

JWT decoded, claims diagnosed, signature verified against shared secret.
Ver parâmetros de entrada
{ "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lZSIsImlhdCI6MTUxNjIzOTAyMn0.yo-bLjjeUhUPia17JiJbc2f1e0JXJIJAi4auivcB-IY", "mode": "verify", "secret": "demo-secret-2026", "publicKey": "", "forgePayload": "", "clockSkew": 0 }

Fatos principais

Categoria
Segurança e validação
Tipos de entrada
textarea, select, text, number
Tipo de saída
html
Cobertura de amostras
4
API disponível
Yes

Visão geral

O Inspetor e Verificador JWT é uma ferramenta de segurança projetada para decodificar cabeçalhos e payloads de JSON Web Tokens (JWT), diagnosticar a validade de claims padrão e verificar assinaturas criptográficas usando chaves simétricas (HS*) ou assimétricas (RS*, PS*, ES*, EdDSA). Ele também oferece um modo de simulação de falsificação para fins educacionais, ajudando desenvolvedores a validar a integridade de seus tokens e a entender vulnerabilidades comuns de implementação.

Quando usar

  • Quando você precisa inspecionar o conteúdo decodificado de um token JWT para depurar claims de expiração (exp), emissor (iss) ou assunto (sub).
  • Ao testar a validação de assinaturas de tokens gerados pelo seu backend usando chaves públicas PEM/JWK ou segredos compartilhados.
  • Para demonstrar ou testar a resistência do seu sistema contra ataques de falsificação de payload e manipulação de algoritmos.

Como funciona

  • Insira o token JWT compacto no campo de entrada principal.
  • Escolha o modo de operação: apenas decodificar, verificar assinatura ou simular falsificação.
  • Forneça o segredo compartilhado (para algoritmos HS*) ou a chave pública correspondente (PEM ou JWK para algoritmos assimétricos).
  • A ferramenta processa o token no servidor de forma segura, exibindo o JSON formatado, o status das claims e o resultado da validação da assinatura.

Casos de uso

Depuração de tokens de autenticação expirados ou inválidos durante o desenvolvimento de APIs.
Auditoria rápida de chaves públicas JWK ou PEM para garantir que correspondem à assinatura do JWT emitido.
Demonstração prática de segurança em treinamentos de desenvolvimento seguro simulando adulteração de claims.

Exemplos

1. Verificação de Assinatura HS256 com Segredo

Desenvolvedor Backend
Contexto
Um desenvolvedor está integrando um microsserviço que autentica usuários via JWT assinado com HS256, mas os tokens estão sendo rejeitados pela API.
Problema
Confirmar se o payload está correto e se a assinatura bate com o segredo configurado no ambiente de desenvolvimento.
Como usar
Insira o JWT no campo de token, selecione o modo 'Verificar assinatura', insira o segredo compartilhado no campo correspondente e execute a verificação.
Configuração de exemplo
Token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lZSIsImlhdCI6MTUxNjIzOTAyMn0.yo-bLjjeUhUPia17JiJbc2f1e0JXJIJAi4auivcB-IY, Modo: verify, Segredo: demo-secret-2026
Resultado
O painel exibe o JSON decodificado do header e payload, confirma que as claims estão estruturadas corretamente e valida que a assinatura é autêntica.

2. Auditoria de Token Expirado e Claims

Analista de Suporte Técnico
Contexto
Um cliente relata que não consegue acessar a plataforma mesmo após realizar o login recente, recebendo erro de autorização.
Problema
Identificar se o token enviado pelo cliente possui a claim 'exp' configurada incorretamente ou se já expirou devido ao fuso horário.
Como usar
Cole o token JWT fornecido pelo cliente no campo de entrada e selecione o modo 'Apenas decodificar' com tolerância de relógio ajustada se necessário.
Configuração de exemplo
Token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiZXhwIjoxNTE2MjM5MDIyfQ.signature, Modo: decode, Tolerância de relógio: 0
Resultado
A ferramenta destaca a claim 'exp' em vermelho, indicando a data exata de expiração no passado e confirmando que o token expirou.

Testar com amostras

json
Exemplos JWT
Exemplos completos de JWT da estrutura básica de tokens às implementações de segurança avançadas
title token jwt
json
Amostras JSON de Terraform Plan
Arquivos Terraform plan JSON para visualizacao de dependencias e revisao de mudancas, no estilo terraform show -json
matched family json
json
Amostras de Conversor Hex/Unicode
Amostras de teste para conversão de sequências de escape hex e unicode
matched family json
json
Exemplos de Comunicação em Tempo Real WebRTC
Exemplos completos WebRTC para comunicação áudio/vídeo P2P, canais de dados, compartilhamento de tela e servidor de sinalização
matched family json
json

Hubs relacionados

Ferramentas de intercambio JSON e traducao de formatos
Compare ferramentas de conversao JSON para CSV, YAML, TOML, GraphQL, XML, Markdown, Excel, BSON, EDN e outros formatos estruturados em um unico hub.
Ferramentas de inspecao, diff e transformacao JSON
Reune em um so hub ferramentas para formatar JSON, comparar mudancas, inspecionar caminhos, validar schema, mesclar arquivos e transformar dados para fluxos de API e dados.
Geradores de schema JSON, dados mock e fixtures de API
Ferramentas reunidas para geracao de schema JSON, construcao de payloads mock e preparacao de fixtures de API em um unico hub.
Ferramentas de formatação, diff e normalização de JSON
Compare ferramentas de formatação JSON, diff, revisão de logs, comparação de configuração e normalização de dados em um único hub para fluxos de revisão de JSON.

FAQ

A ferramenta armazena minhas chaves privadas ou segredos?

Não. A verificação é feita em tempo de execução no servidor e as chaves ou segredos enviados não são armazenados.

Quais algoritmos de assinatura são suportados para verificação?

A ferramenta suporta algoritmos simétricos HS (HS256, HS384, HS512) e assimétricos RS, PS, ES e EdDSA.

Como funciona o diagnóstico de claims?

O validador analisa claims padrão como exp, nbf e iat, alertando se o token está expirado, ainda não é válido ou se há inconsistências de tempo.

O que acontece se eu enviar um token com "alg": "none"?

Tokens com algoritmo "none" são identificados e rejeitados automaticamente, sendo classificados como inválidos para fins de segurança.

Posso testar a alteração de dados do payload?

Sim, o modo de falsificação permite editar o payload e gerar um novo token assinado para testar a robustez do seu validador local.

Documentação da API

Ponto final da solicitação

POST /pt/api/tools/jwt-inspector-verifier

Parâmetros da solicitação

Nome do parâmetro Tipo Requerido Descrição
token textarea Sim -
mode select Não -
secret text Não -
publicKey textarea Não -
forgePayload textarea Não -
clockSkew number Não -

Formato de resposta

{
  "result": "
Processed HTML content
",
  "error": "Error message (optional)",
  "message": "Notification message (optional)",
  "metadata": {
    "key": "value"
  }
}
HTML: HTML

Documentação de MCP

Adicione este ferramenta à sua configuração de servidor MCP: 

{
  "mcpServers": {
    "elysiatools-jwt-inspector-verifier": {
      "name": "jwt-inspector-verifier",
      "description": "Decodifica o header/payload do JWT com destaque, diagnostica claims padrão, verifica a assinatura com chaves HS*/RS*/PS*/ES*/EdDSA e oferece uma demo de falsificação",
      "baseUrl": "https://elysiatools.com/mcp/sse?toolId=jwt-inspector-verifier",
      "command": "",
      "args": [],
      "env": {},
      "isActive": true,
      "type": "sse"
    }
  }
}

Você pode encadear várias ferramentas, ex: `https://elysiatools.com/mcp/sse?toolId=png-to-webp,jpg-to-webp,gif-to-webp`, máx 20 ferramentas.

Se você encontrar algum problema, por favor, entre em contato conosco em [email protected]