Erstelle und signiere HS256 JSON Web Tokens aus Payload und Secret, komplett im Browser.
So nutzt du den JWT-Generator
Bearbeite die Payload als JSON-Objekt.
Gib dein HS256-Secret ein.
Generiere und kopiere das signierte Token.
Ein JWT-Generator, der aus deiner Payload und deinem Secret JSON Web Tokens erstellt und signiert, komplett in deinem Browser über die Web Crypto API. Er passt zum JWT-Decoder, der einen vorhandenen Token untersucht.
Ein JWT besteht aus drei durch Punkte getrennten Teilen: einem Header, einer Payload mit Claims und einer Signatur, jeweils Base64URL-kodiert. Die Signatur macht den Token vertrauenswürdig: Sie belegt, dass die Payload nicht verändert wurde und von jemandem ausgestellt wurde, der das Secret besitzt.
Dieses Tool signiert mit HS256, also HMAC mit SHA-256, dem gängigsten symmetrischen JWT-Algorithmus. Dasselbe Secret signiert und verifiziert den Token, es muss also auf dem Server geheim bleiben.
Verwende für HS256 ein langes, zufälliges Secret. Ein kurzes oder erratbares Secret untergräbt den gesamten Token, denn wer es errät, kann sich eigene gültige Tokens ausstellen.
Ein wichtiger Punkt zu JWTs: Die Payload ist nur kodiert, nicht verschlüsselt. Jeder mit dem Token kann seine Claims durch Base64-Dekodierung lesen, lege also nie Passwörter oder sensible Daten in ein JWT. Die Signatur verhindert Manipulation, sie sorgt nicht für Geheimhaltung.
Da das Signieren lokal geschieht, verlassen dein Secret und deine Payload dein Gerät nie. Vermeide es trotzdem, echte Produktions-Secrets an einem gemeinsam genutzten oder öffentlichen Computer einzufügen.
Häufig gestellte Fragen
HS256 (HMAC mit SHA-256), der häufigste symmetrische JWT-Algorithmus, in deinem Browser mit der Web Crypto API signiert.
Nein. Das Signieren geschieht vollständig in deinem Browser, sodass das Secret und der Payload nie dein Gerät verlassen. Vermeide dennoch echte Produktions-Secrets auf geteilten Rechnern.
Ja, verwende das JWT-Decoder-Werkzeug, um den Header und den Payload eines bestehenden Tokens zu untersuchen.
Nein. Der Payload ist nur Base64url-kodiert, sodass jeder mit dem Token ihn lesen kann. Die Signatur verhindert Manipulation, nicht das Lesen, lege also nie Geheimnisse in ein JWT.
Eine lange, zufällige Zeichenkette. Für HS256 ist das Secret das Einzige, was das Token schützt, daher würde ein kurzer oder erratbarer Wert jedem erlauben, gültige Tokens zu fälschen.
Dieses Tool einbetten
Füge dieses Tool zu deiner eigenen Website hinzu. Kopiere den Code unten. Er bleibt automatisch aktuell.
<iframe src="https://monu.tools/embed/de/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Verwandte Tools
Suche und schlage HTTP-Statuscodes und ihre Bedeutungen nach, von 1xx bis 5xx.
Wandle eine .env-Datei in JSON und JSON zurück in .env um, in beide Richtungen, komplett im Browser.
Erzeuge einen HMAC für eine Nachricht und einen geheimen Schlüssel mit SHA-1, SHA-256, SHA-384 oder SHA-512, im Browser.
Hashe ein Passwort mit bcrypt und prüfe ein Passwort gegen einen bcrypt-Hash, komplett im Browser.