Crea y firma JSON Web Tokens HS256 a partir de un payload y un secreto, por completo en tu navegador.
Cómo usar Generador JWT
Edita el payload como objeto JSON.
Introduce tu secreto HS256.
Genera y copia el token firmado.
Un generador de JWT que construye y firma JSON Web Tokens a partir de tu carga útil y tu secreto, íntegramente en tu navegador usando la Web Crypto API. Se combina con el decodificador de JWT, que inspecciona un token existente.
Un JWT tiene tres partes separadas por puntos: una cabecera, una carga útil de claims y una firma, cada una codificada en Base64url. La firma es lo que hace que el token sea fiable: demuestra que la carga útil no ha sido alterada y que fue emitida por alguien que posee el secreto.
Esta herramienta firma con HS256, es decir HMAC usando SHA-256, el algoritmo simétrico de JWT más común. El mismo secreto firma y verifica el token, así que debe mantenerse privado en el servidor.
Para HS256, usa un secreto largo y aleatorio. Un secreto corto o adivinable socava todo el token, ya que cualquiera que lo adivine puede acuñar sus propios tokens válidos.
Un punto importante sobre los JWT: la carga útil solo está codificada, no cifrada. Cualquiera que tenga el token puede leer sus claims decodificándolos con Base64, así que nunca pongas contraseñas ni datos sensibles en un JWT. La firma impide la manipulación, no proporciona secreto.
Como la firma ocurre localmente, tu secreto y tu carga útil nunca salen de tu dispositivo. Aun así, evita pegar secretos reales de producción en un ordenador compartido o público.
Preguntas frecuentes
HS256 (HMAC con SHA-256), el algoritmo simétrico de JWT más común, firmado en tu navegador con la Web Crypto API.
No. La firma ocurre totalmente en tu navegador, así que el secreto y el payload nunca salen de tu dispositivo. Aun así, evita usar secretos reales de producción en máquinas compartidas.
Sí, usa la herramienta de decodificación de JWT para inspeccionar la cabecera y el payload de un token existente.
No. El payload solo está codificado en Base64url, así que cualquiera que tenga el token puede leerlo. La firma impide la manipulación, no la lectura, así que nunca pongas secretos en un JWT.
Una cadena larga y aleatoria. En HS256 el secreto es lo único que protege el token, así que un valor corto o adivinable permitiría a cualquiera falsificar tokens válidos.
Insertar esta herramienta
Añade esta herramienta a tu propio sitio web. Copia el fragmento de abajo. Se mantiene actualizado automáticamente.
<iframe src="https://monu.tools/embed/es/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Herramientas relacionadas
Busca y consulta los códigos de estado HTTP y su significado, de 1xx a 5xx.
Convierte un archivo .env a JSON y JSON de vuelta a .env, en ambos sentidos, por completo en tu navegador.
Genera un HMAC para un mensaje y una clave secreta con SHA-1, SHA-256, SHA-384 o SHA-512, en tu navegador.
Cifra una contraseña con bcrypt y verifica una contraseña frente a un hash bcrypt, por completo en tu navegador.