Monu Tools

JWT-generator

Maak en onderteken HS256 JSON Web Tokens uit een payload en geheim, volledig in je browser.

Hoe gebruik je JWT-generator

  1. 01

    Bewerk de payload als een JSON-object.

  2. 02

    Voer je HS256-geheim in.

  3. 03

    Genereer en kopieer het ondertekende token.

Onderteken tokens in de browser

Een JWT-generator die JSON Web Tokens bouwt en ondertekent op basis van je payload en secret, volledig in je browser met de Web Crypto API. Hij vormt een paar met de JWT-decoder, die een bestaand token inspecteert.

Hoe een JWT is opgebouwd

Een JWT heeft drie delen gescheiden door punten: een header, een payload met claims, en een signature, elk Base64URL gecodeerd. De signature maakt het token betrouwbaar: het bewijst dat de payload niet is gewijzigd en is uitgegeven door iemand die het secret bezit.

HS256 en je secret

Deze tool ondertekent met HS256, dat wil zeggen HMAC met SHA-256, het meest voorkomende symmetrische JWT-algoritme. Hetzelfde secret ondertekent en verifieert het token, dus het moet privé blijven op de server.

Gebruik voor HS256 een lang, willekeurig secret. Een kort of raadbaar secret ondermijnt het hele token, want iedereen die het raadt kan zelf geldige tokens aanmaken.

Gecodeerd, niet versleuteld

Een belangrijk punt over JWT's: de payload is alleen gecodeerd, niet versleuteld. Iedereen met het token kan de claims lezen door ze via Base64 te decoderen, dus zet nooit wachtwoorden of gevoelige gegevens in een JWT. De signature voorkomt manipulatie, het biedt geen geheimhouding.

Beveiligingsnotitie

Omdat het ondertekenen lokaal gebeurt, verlaten je secret en payload je apparaat nooit. Vermijd toch het plakken van echte productie-secrets op een gedeelde of openbare computer.

Veelgestelde vragen

Welk algoritme wordt gebruikt?

HS256 (HMAC met SHA-256), het meest voorkomende symmetrische JWT-algoritme, ondertekend in je browser met de Web Crypto API.

Wordt mijn geheim ergens naartoe gestuurd?

Nee. Het ondertekenen gebeurt volledig in je browser, dus het geheim en de payload verlaten nooit je apparaat. Vermijd toch echte productiegeheimen op gedeelde machines.

Kan ik ook een token decoderen?

Ja, gebruik de JWT-decoder-tool om de header en payload van een bestaand token te inspecteren.

Is de payload versleuteld?

Nee. De payload is alleen Base64url gecodeerd, dus iedereen met het token kan die lezen. De handtekening voorkomt manipulatie, niet lezen, dus zet nooit geheimen in een JWT.

Wat moet ik als geheim gebruiken?

Een lange, willekeurige string. Voor HS256 is het geheim het enige dat het token beschermt, dus een korte of raadbare waarde zou iedereen geldige tokens laten vervalsen.

Bronnen

Deze tool insluiten

Voeg deze tool toe aan je eigen website. Kopieer het fragment hieronder. Het blijft automatisch up-to-date.

<iframe src="https://monu.tools/embed/nl/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Gerelateerde tools