Monu Tools

JWT-Generator

Erstelle und signiere HS256 JSON Web Tokens aus Payload und Secret, komplett im Browser.

So nutzt du den JWT-Generator

  1. 01

    Bearbeite die Payload als JSON-Objekt.

  2. 02

    Gib dein HS256-Secret ein.

  3. 03

    Generiere und kopiere das signierte Token.

Tokens im Browser signieren

Ein JWT-Generator, der aus deiner Payload und deinem Secret JSON Web Tokens erstellt und signiert, komplett in deinem Browser über die Web Crypto API. Er passt zum JWT-Decoder, der einen vorhandenen Token untersucht.

Wie ein JWT aufgebaut ist

Ein JWT besteht aus drei durch Punkte getrennten Teilen: einem Header, einer Payload mit Claims und einer Signatur, jeweils Base64URL-kodiert. Die Signatur macht den Token vertrauenswürdig: Sie belegt, dass die Payload nicht verändert wurde und von jemandem ausgestellt wurde, der das Secret besitzt.

HS256 und dein Secret

Dieses Tool signiert mit HS256, also HMAC mit SHA-256, dem gängigsten symmetrischen JWT-Algorithmus. Dasselbe Secret signiert und verifiziert den Token, es muss also auf dem Server geheim bleiben.

Verwende für HS256 ein langes, zufälliges Secret. Ein kurzes oder erratbares Secret untergräbt den gesamten Token, denn wer es errät, kann sich eigene gültige Tokens ausstellen.

Kodiert, nicht verschlüsselt

Ein wichtiger Punkt zu JWTs: Die Payload ist nur kodiert, nicht verschlüsselt. Jeder mit dem Token kann seine Claims durch Base64-Dekodierung lesen, lege also nie Passwörter oder sensible Daten in ein JWT. Die Signatur verhindert Manipulation, sie sorgt nicht für Geheimhaltung.

Sicherheitshinweis

Da das Signieren lokal geschieht, verlassen dein Secret und deine Payload dein Gerät nie. Vermeide es trotzdem, echte Produktions-Secrets an einem gemeinsam genutzten oder öffentlichen Computer einzufügen.

Häufig gestellte Fragen

Welcher Algorithmus wird verwendet?

HS256 (HMAC mit SHA-256), der häufigste symmetrische JWT-Algorithmus, in deinem Browser mit der Web Crypto API signiert.

Wird mein Secret irgendwohin gesendet?

Nein. Das Signieren geschieht vollständig in deinem Browser, sodass das Secret und der Payload nie dein Gerät verlassen. Vermeide dennoch echte Produktions-Secrets auf geteilten Rechnern.

Kann ich auch ein Token dekodieren?

Ja, verwende das JWT-Decoder-Werkzeug, um den Header und den Payload eines bestehenden Tokens zu untersuchen.

Ist der Payload verschlüsselt?

Nein. Der Payload ist nur Base64url-kodiert, sodass jeder mit dem Token ihn lesen kann. Die Signatur verhindert Manipulation, nicht das Lesen, lege also nie Geheimnisse in ein JWT.

Was sollte ich als Secret verwenden?

Eine lange, zufällige Zeichenkette. Für HS256 ist das Secret das Einzige, was das Token schützt, daher würde ein kurzer oder erratbarer Wert jedem erlauben, gültige Tokens zu fälschen.

Quellen

Dieses Tool einbetten

Füge dieses Tool zu deiner eigenen Website hinzu. Kopiere den Code unten. Er bleibt automatisch aktuell.

<iframe src="https://monu.tools/embed/de/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Verwandte Tools