Monu Tools

Générateur JWT

Créez et signez des JSON Web Tokens HS256 à partir d'une charge utile et d'un secret, entièrement dans votre navigateur.

Comment utiliser l'outil Générateur JWT

  1. 01

    Modifiez la charge utile comme objet JSON.

  2. 02

    Entrez votre secret HS256.

  3. 03

    Générez et copiez le token signé.

Signez des jetons dans le navigateur

Un générateur de JWT qui construit et signe des JSON Web Tokens à partir de votre charge utile et de votre secret, entièrement dans votre navigateur à l'aide de l'API Web Crypto. Il fait la paire avec le décodeur de JWT, qui inspecte un jeton existant.

Comment un JWT est assemblé

Un JWT comporte trois parties séparées par des points: un en-tête, une charge utile de revendications, et une signature, chacune encodée en Base64URL. La signature est ce qui rend le jeton digne de confiance: elle prouve que la charge utile n'a pas été altérée et qu'elle a été émise par quelqu'un qui détient le secret.

HS256 et votre secret

Cet outil signe avec HS256, c'est-à-dire HMAC utilisant SHA-256, l'algorithme JWT symétrique le plus courant. Le même secret signe et vérifie le jeton, il doit donc rester privé sur le serveur.

Pour HS256, utilisez un secret long et aléatoire. Un secret court ou devinable compromet tout le jeton, puisque quiconque le devine peut forger ses propres jetons valides.

Encodé, pas chiffré

Un point important au sujet des JWT: la charge utile est seulement encodée, pas chiffrée. Quiconque possède le jeton peut lire ses revendications en les décodant en Base64, alors ne mettez jamais de mots de passe ni de données sensibles dans un JWT. La signature empêche la falsification, elle n'assure pas le secret.

Note de sécurité

Comme la signature se fait localement, votre secret et votre charge utile ne quittent jamais votre appareil. Malgré cela, évitez de coller de vrais secrets de production sur un ordinateur partagé ou public.

Questions fréquentes

Quel algorithme est utilisé ?

HS256 (HMAC avec SHA-256), l'algorithme JWT symétrique le plus courant, signé dans votre navigateur avec la Web Crypto API.

Mon secret est-il envoyé quelque part ?

Non. La signature se fait entièrement dans votre navigateur, de sorte que le secret et la charge utile ne quittent jamais votre appareil. Évitez tout de même les vrais secrets de production sur des machines partagées.

Puis-je aussi décoder un jeton ?

Oui, utilisez l'outil décodeur JWT pour inspecter l'en-tête et la charge utile d'un jeton existant.

La charge utile est-elle chiffrée ?

Non. La charge utile est seulement encodée en Base64url, donc quiconque possède le jeton peut la lire. La signature empêche la falsification, pas la lecture, alors ne mettez jamais de secrets dans un JWT.

Que dois-je utiliser comme secret ?

Une chaîne longue et aléatoire. Pour HS256, le secret est la seule chose qui protège le jeton, donc une valeur courte ou facile à deviner permettrait à quiconque de forger des jetons valides.

Sources

Intégrer cet outil

Ajoutez cet outil à votre propre site web. Copiez le code ci-dessous. Il reste à jour automatiquement.

<iframe src="https://monu.tools/embed/fr/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Outils similaires