Monu Tools

Generador de JWT

Crea y firma JSON Web Tokens HS256 a partir de un payload y un secreto, por completo en tu navegador.

Cómo usar Generador JWT

  1. 01

    Edita el payload como objeto JSON.

  2. 02

    Introduce tu secreto HS256.

  3. 03

    Genera y copia el token firmado.

Firma tokens en el navegador

Un generador de JWT que construye y firma JSON Web Tokens a partir de tu carga útil y tu secreto, íntegramente en tu navegador usando la Web Crypto API. Se combina con el decodificador de JWT, que inspecciona un token existente.

Cómo se compone un JWT

Un JWT tiene tres partes separadas por puntos: una cabecera, una carga útil de claims y una firma, cada una codificada en Base64url. La firma es lo que hace que el token sea fiable: demuestra que la carga útil no ha sido alterada y que fue emitida por alguien que posee el secreto.

HS256 y tu secreto

Esta herramienta firma con HS256, es decir HMAC usando SHA-256, el algoritmo simétrico de JWT más común. El mismo secreto firma y verifica el token, así que debe mantenerse privado en el servidor.

Para HS256, usa un secreto largo y aleatorio. Un secreto corto o adivinable socava todo el token, ya que cualquiera que lo adivine puede acuñar sus propios tokens válidos.

Codificado, no cifrado

Un punto importante sobre los JWT: la carga útil solo está codificada, no cifrada. Cualquiera que tenga el token puede leer sus claims decodificándolos con Base64, así que nunca pongas contraseñas ni datos sensibles en un JWT. La firma impide la manipulación, no proporciona secreto.

Nota de seguridad

Como la firma ocurre localmente, tu secreto y tu carga útil nunca salen de tu dispositivo. Aun así, evita pegar secretos reales de producción en un ordenador compartido o público.

Preguntas frecuentes

¿Qué algoritmo se usa?

HS256 (HMAC con SHA-256), el algoritmo simétrico de JWT más común, firmado en tu navegador con la Web Crypto API.

¿Se envía mi secreto a algún sitio?

No. La firma ocurre totalmente en tu navegador, así que el secreto y el payload nunca salen de tu dispositivo. Aun así, evita usar secretos reales de producción en máquinas compartidas.

¿Puedo decodificar un token también?

Sí, usa la herramienta de decodificación de JWT para inspeccionar la cabecera y el payload de un token existente.

¿Está cifrado el payload?

No. El payload solo está codificado en Base64url, así que cualquiera que tenga el token puede leerlo. La firma impide la manipulación, no la lectura, así que nunca pongas secretos en un JWT.

¿Qué debo usar como secreto?

Una cadena larga y aleatoria. En HS256 el secreto es lo único que protege el token, así que un valor corto o adivinable permitiría a cualquiera falsificar tokens válidos.

Fuentes

Insertar esta herramienta

Añade esta herramienta a tu propio sitio web. Copia el fragmento de abajo. Se mantiene actualizado automáticamente.

<iframe src="https://monu.tools/embed/es/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Herramientas relacionadas