Créez et signez des JSON Web Tokens HS256 à partir d'une charge utile et d'un secret, entièrement dans votre navigateur.
Comment utiliser l'outil Générateur JWT
Modifiez la charge utile comme objet JSON.
Entrez votre secret HS256.
Générez et copiez le token signé.
Un générateur de JWT qui construit et signe des JSON Web Tokens à partir de votre charge utile et de votre secret, entièrement dans votre navigateur à l'aide de l'API Web Crypto. Il fait la paire avec le décodeur de JWT, qui inspecte un jeton existant.
Un JWT comporte trois parties séparées par des points: un en-tête, une charge utile de revendications, et une signature, chacune encodée en Base64URL. La signature est ce qui rend le jeton digne de confiance: elle prouve que la charge utile n'a pas été altérée et qu'elle a été émise par quelqu'un qui détient le secret.
Cet outil signe avec HS256, c'est-à-dire HMAC utilisant SHA-256, l'algorithme JWT symétrique le plus courant. Le même secret signe et vérifie le jeton, il doit donc rester privé sur le serveur.
Pour HS256, utilisez un secret long et aléatoire. Un secret court ou devinable compromet tout le jeton, puisque quiconque le devine peut forger ses propres jetons valides.
Un point important au sujet des JWT: la charge utile est seulement encodée, pas chiffrée. Quiconque possède le jeton peut lire ses revendications en les décodant en Base64, alors ne mettez jamais de mots de passe ni de données sensibles dans un JWT. La signature empêche la falsification, elle n'assure pas le secret.
Comme la signature se fait localement, votre secret et votre charge utile ne quittent jamais votre appareil. Malgré cela, évitez de coller de vrais secrets de production sur un ordinateur partagé ou public.
Questions fréquentes
HS256 (HMAC avec SHA-256), l'algorithme JWT symétrique le plus courant, signé dans votre navigateur avec la Web Crypto API.
Non. La signature se fait entièrement dans votre navigateur, de sorte que le secret et la charge utile ne quittent jamais votre appareil. Évitez tout de même les vrais secrets de production sur des machines partagées.
Oui, utilisez l'outil décodeur JWT pour inspecter l'en-tête et la charge utile d'un jeton existant.
Non. La charge utile est seulement encodée en Base64url, donc quiconque possède le jeton peut la lire. La signature empêche la falsification, pas la lecture, alors ne mettez jamais de secrets dans un JWT.
Une chaîne longue et aléatoire. Pour HS256, le secret est la seule chose qui protège le jeton, donc une valeur courte ou facile à deviner permettrait à quiconque de forger des jetons valides.
Intégrer cet outil
Ajoutez cet outil à votre propre site web. Copiez le code ci-dessous. Il reste à jour automatiquement.
<iframe src="https://monu.tools/embed/fr/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Outils similaires
Recherchez et consultez les codes de statut HTTP et leurs significations, de 1xx à 5xx.
Convertissez un fichier .env en JSON et du JSON en .env, dans les deux sens, entièrement dans votre navigateur.
Générez un HMAC pour un message et une clé secrète en utilisant SHA-1, SHA-256, SHA-384 ou SHA-512, dans votre navigateur.
Hachez un mot de passe avec bcrypt et vérifiez un mot de passe contre un hachage bcrypt, entièrement dans votre navigateur.