Crea e firma JSON Web Token HS256 da un payload e un segreto, interamente nel browser.
Come usare Generatore JWT
Modifica il payload come oggetto JSON.
Inserisci il tuo segreto HS256.
Genera e copia il token firmato.
Un generatore di JWT che crea e firma i JSON Web Token a partire dal tuo payload e dal tuo segreto, interamente nel tuo browser tramite la Web Crypto API. Si abbina al decoder JWT, che esamina un token esistente.
Un JWT ha tre parti separate da punti: un header, un payload di claim e una firma, ciascuna codificata in Base64url. La firma è ciò che rende affidabile il token: dimostra che il payload non è stato alterato ed è stato emesso da qualcuno che possiede il segreto.
Questo strumento firma con HS256, cioè HMAC che usa SHA-256, l'algoritmo JWT simmetrico più comune. Lo stesso segreto sia firma sia verifica il token, quindi deve essere mantenuto privato sul server.
Per HS256, usa un segreto lungo e casuale. Un segreto corto o facile da indovinare compromette l'intero token, poiché chiunque lo indovini può coniare token validi propri.
Un punto importante sui JWT: il payload è solo codificato, non cifrato. Chiunque abbia il token può leggerne i claim decodificandoli da Base64, quindi non mettere mai password o dati sensibili in un JWT. La firma impedisce le manomissioni, non fornisce segretezza.
Poiché la firma avviene localmente, il tuo segreto e il tuo payload non lasciano mai il tuo dispositivo. Anche così, evita di incollare segreti di produzione reali su un computer condiviso o pubblico.
Domande frequenti
HS256 (HMAC con SHA-256), l'algoritmo JWT simmetrico più comune, firmato nel tuo browser con la Web Crypto API.
No. La firma avviene interamente nel tuo browser, quindi il segreto e il payload non lasciano mai il tuo dispositivo. Comunque, evita segreti di produzione reali su macchine condivise.
Sì, usa lo strumento decodificatore JWT per ispezionare l'header e il payload di un token esistente.
No. Il payload è solo codificato in Base64url, quindi chiunque abbia il token può leggerlo. La firma impedisce la manomissione, non la lettura, quindi non mettere mai segreti in un JWT.
Una stringa lunga e casuale. Per HS256 il segreto è l'unica cosa che protegge il token, quindi un valore corto o facile da indovinare permetterebbe a chiunque di falsificare token validi.
Incorpora questo strumento
Aggiungi questo strumento al tuo sito web. Copia lo snippet qui sotto; si aggiorna automaticamente.
<iframe src="https://monu.tools/embed/it/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Strumenti correlati
Cerca e consulta i codici di stato HTTP e i loro significati, dall'1xx al 5xx.
Converti un file .env in JSON e JSON in .env, in entrambe le direzioni, interamente nel browser.
Genera un HMAC per un messaggio e una chiave segreta usando SHA-1, SHA-256, SHA-384 o SHA-512, nel browser.
Calcola l'hash di una password con bcrypt e verifica una password rispetto a un hash bcrypt, interamente nel browser.