Maak en onderteken HS256 JSON Web Tokens uit een payload en geheim, volledig in je browser.
Hoe gebruik je JWT-generator
Bewerk de payload als een JSON-object.
Voer je HS256-geheim in.
Genereer en kopieer het ondertekende token.
Een JWT-generator die JSON Web Tokens bouwt en ondertekent op basis van je payload en secret, volledig in je browser met de Web Crypto API. Hij vormt een paar met de JWT-decoder, die een bestaand token inspecteert.
Een JWT heeft drie delen gescheiden door punten: een header, een payload met claims, en een signature, elk Base64URL gecodeerd. De signature maakt het token betrouwbaar: het bewijst dat de payload niet is gewijzigd en is uitgegeven door iemand die het secret bezit.
Deze tool ondertekent met HS256, dat wil zeggen HMAC met SHA-256, het meest voorkomende symmetrische JWT-algoritme. Hetzelfde secret ondertekent en verifieert het token, dus het moet privé blijven op de server.
Gebruik voor HS256 een lang, willekeurig secret. Een kort of raadbaar secret ondermijnt het hele token, want iedereen die het raadt kan zelf geldige tokens aanmaken.
Een belangrijk punt over JWT's: de payload is alleen gecodeerd, niet versleuteld. Iedereen met het token kan de claims lezen door ze via Base64 te decoderen, dus zet nooit wachtwoorden of gevoelige gegevens in een JWT. De signature voorkomt manipulatie, het biedt geen geheimhouding.
Omdat het ondertekenen lokaal gebeurt, verlaten je secret en payload je apparaat nooit. Vermijd toch het plakken van echte productie-secrets op een gedeelde of openbare computer.
Veelgestelde vragen
HS256 (HMAC met SHA-256), het meest voorkomende symmetrische JWT-algoritme, ondertekend in je browser met de Web Crypto API.
Nee. Het ondertekenen gebeurt volledig in je browser, dus het geheim en de payload verlaten nooit je apparaat. Vermijd toch echte productiegeheimen op gedeelde machines.
Ja, gebruik de JWT-decoder-tool om de header en payload van een bestaand token te inspecteren.
Nee. De payload is alleen Base64url gecodeerd, dus iedereen met het token kan die lezen. De handtekening voorkomt manipulatie, niet lezen, dus zet nooit geheimen in een JWT.
Een lange, willekeurige string. Voor HS256 is het geheim het enige dat het token beschermt, dus een korte of raadbare waarde zou iedereen geldige tokens laten vervalsen.
Deze tool insluiten
Voeg deze tool toe aan je eigen website. Kopieer het fragment hieronder. Het blijft automatisch up-to-date.
<iframe src="https://monu.tools/embed/nl/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Gerelateerde tools
Zoek en bekijk HTTP-statuscodes en hun betekenis, van 1xx tot 5xx.
Converteer een .env-bestand naar JSON en JSON terug naar .env, in beide richtingen, volledig in je browser.
Genereer een HMAC voor een bericht en geheime sleutel met SHA-1, SHA-256, SHA-384 of SHA-512, in je browser.
Hash een wachtwoord met bcrypt en verifieer een wachtwoord tegen een bcrypt-hash, volledig in je browser.