Uma ferramenta PKCE (Proof Key for Code Exchange, RFC 7636) focada para desenvolvedores OAuth2 / OIDC:
- Escolha um modo: Generate (um par novo), Validate (auditar um verifier que você tem) ou Verify (verificar se um par verifier/challenge corresponde).
- O modo Generate deriva um codeverifier de bytes aleatórios criptográficos (32/48/64/96 bytes = 256/384/512/768 bits) e codifica em base64url, depois calcula codechallenge = BASE64URL(SHA256(verifier)). O verifier fica no cliente; só o challenge vai ao servidor de autorização.
- O modo Validate audita um verifier existente frente ao RFC 7636: comprimento 43–128 caracteres, charset limitado a [A-Za-z0-9-._~] e ≥256 bits de entropia. Se conforme, mostra também o challenge S256 implícito.
- O modo Verify recalcula BASE64URL(SHA256(verifier)) e compara com um codechallenge fornecido — útil ao depurar "invalidgrant" ou challenge incompatível durante a troca de token.
- Opcionalmente preencha o endpoint de autorização, client ID e redirect URI para construir a URL completa de requisição (com codechallengemethod=S256) e o corpo de troca de token que depois envia o verifier secreto.
Offline e criptograficamente sólido: bytes aleatórios do CSPRNG da plataforma; SHA256 via o módulo crypto. Sem chamadas de rede, nenhum valor sai do navegador.