Monu Tools

Generatore di JWT

Crea e firma JSON Web Token HS256 da un payload e un segreto, interamente nel browser.

Come usare Generatore JWT

  1. 01

    Modifica il payload come oggetto JSON.

  2. 02

    Inserisci il tuo segreto HS256.

  3. 03

    Genera e copia il token firmato.

Firma i token nel browser

Un generatore di JWT che crea e firma i JSON Web Token a partire dal tuo payload e dal tuo segreto, interamente nel tuo browser tramite la Web Crypto API. Si abbina al decoder JWT, che esamina un token esistente.

Com'è composto un JWT

Un JWT ha tre parti separate da punti: un header, un payload di claim e una firma, ciascuna codificata in Base64url. La firma è ciò che rende affidabile il token: dimostra che il payload non è stato alterato ed è stato emesso da qualcuno che possiede il segreto.

HS256 e il tuo segreto

Questo strumento firma con HS256, cioè HMAC che usa SHA-256, l'algoritmo JWT simmetrico più comune. Lo stesso segreto sia firma sia verifica il token, quindi deve essere mantenuto privato sul server.

Per HS256, usa un segreto lungo e casuale. Un segreto corto o facile da indovinare compromette l'intero token, poiché chiunque lo indovini può coniare token validi propri.

Codificato, non cifrato

Un punto importante sui JWT: il payload è solo codificato, non cifrato. Chiunque abbia il token può leggerne i claim decodificandoli da Base64, quindi non mettere mai password o dati sensibili in un JWT. La firma impedisce le manomissioni, non fornisce segretezza.

Nota sulla sicurezza

Poiché la firma avviene localmente, il tuo segreto e il tuo payload non lasciano mai il tuo dispositivo. Anche così, evita di incollare segreti di produzione reali su un computer condiviso o pubblico.

Domande frequenti

Quale algoritmo viene usato?

HS256 (HMAC con SHA-256), l'algoritmo JWT simmetrico più comune, firmato nel tuo browser con la Web Crypto API.

Il mio segreto viene inviato da qualche parte?

No. La firma avviene interamente nel tuo browser, quindi il segreto e il payload non lasciano mai il tuo dispositivo. Comunque, evita segreti di produzione reali su macchine condivise.

Posso anche decodificare un token?

Sì, usa lo strumento decodificatore JWT per ispezionare l'header e il payload di un token esistente.

Il payload è criptato?

No. Il payload è solo codificato in Base64url, quindi chiunque abbia il token può leggerlo. La firma impedisce la manomissione, non la lettura, quindi non mettere mai segreti in un JWT.

Cosa dovrei usare come segreto?

Una stringa lunga e casuale. Per HS256 il segreto è l'unica cosa che protegge il token, quindi un valore corto o facile da indovinare permetterebbe a chiunque di falsificare token validi.

Fonti

Incorpora questo strumento

Aggiungi questo strumento al tuo sito web. Copia lo snippet qui sotto; si aggiorna automaticamente.

<iframe src="https://monu.tools/embed/it/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Strumenti correlati