Codifica JWT Online
Crea token JWT firmati con HMAC-SHA256 per test e sviluppo. Gratis, nel tuo browser, senza caricamento di dati.
Perche usare questo encoder
JWT per lo sviluppo, senza complicazioni
Privacy totale
Il token viene generato usando la Web Crypto API direttamente nel tuo browser. Ne il payload ne la chiave segreta lasciano mai il tuo dispositivo.
Firma crittografica reale
Usiamo HMAC-SHA256 tramite la Web Crypto API, lo stesso algoritmo usato dai server in produzione. Il token e valido e verificabile.
Compatibile con qualsiasi libreria JWT
Il token generato e standard RFC 7519. Funziona con jsonwebtoken (Node.js), PyJWT (Python), java-jwt e qualsiasi implementazione conforme.
Istantaneo, senza dipendenza dalla rete
Nessuna chiamata al server. La generazione avviene in millisecondi indipendentemente dalla tua connessione.
Come funziona
Tre passaggi, senza complicazioni
Definisci il payload
Scrivi il payload JSON con i claim di cui hai bisogno: sub, exp, iat o qualsiasi campo personalizzato.
Inserisci la tua chiave segreta
Digita la chiave segreta per la firma HMAC-SHA256. Usa solo chiavi di test: mai segreti di produzione negli strumenti del browser.
Copia il token generato
Il token JWT firmato viene generato istantaneamente nel tuo browser. Copialo per usarlo nei tuoi test API.
FAQ
Hai delle domande?
HMAC-SHA256 e un algoritmo di firma che combina la tua chiave segreta con l'intestazione e il payload codificati in Base64URL per produrre una firma crittografica. Questo garantisce che il token non sia stato manomesso.
NO: non inserire mai chiavi segrete di produzione negli strumenti del browser. Questo strumento serve per generare token di test in ambienti di sviluppo. Le chiavi rimangono sul tuo dispositivo, ma il rischio di esposizione esiste ogni volta che digiti segreti reali in qualsiasi campo di testo web.
HS256 (HMAC-SHA256) e l'algoritmo predefinito e piu comune per i JWT simmetrici. E lo standard per la maggior parte delle implementazioni che non richiedono crittografia asimmetrica (RS256/ES256).
Si. Il token JWT generato puo essere decodificato con il nostro strumento JWT Decode per verificare l'intestazione e il payload. Ricorda che il payload e solo codificato in Base64URL, non cifrato: chiunque puo leggerne il contenuto.
Si. Aggiungi qualsiasi coppia chiave-valore JSON al payload. I claim standard come sub (soggetto), iss (emittente) e aud (destinatario) vengono trattati come quelli personalizzati: sono semplicemente convenzioni dello standard JWT.
exp (scadenza) e iat (emesso alle) sono timestamp Unix in secondi. Per un token che scade tra 1 ora: iat e il timestamp corrente e exp e iat + 3600. Puoi ottenere il timestamp corrente con Date.now()/1000 nella console del browser.
Flusso di lavoro per la creazione di JWT, processo di firma HMAC-SHA256, Web Crypto API per la crittografia, test JWT nello sviluppo API
JSON Web Token (JWT) e uno standard aperto (RFC 7519) che definisce un formato compatto e autonomo per trasmettere in modo sicuro informazioni tra parti come oggetto JSON. Un JWT e composto da tre parti separate da punti: l'intestazione (tipo di token e algoritmo di firma), il payload (i claim o asserzioni) e la firma (firma crittografica). Ogni parte e codificata in Base64URL, rendendo il token sicuro da usare negli URL e nelle intestazioni HTTP.
L'algoritmo HS256 (HMAC con SHA-256) e il piu comune per i JWT simmetrici: sia l'emittente che il destinatario condividono la stessa chiave segreta. La firma viene calcolata come HMAC-SHA256(Base64URL(intestazione) + punto + Base64URL(payload), segreto). La Web Crypto API del browser implementa HMAC-SHA256 in modo nativo, consentendo la generazione di token crittograficamente validi senza inviare dati a un server.
Nello sviluppo di API REST, JWT viene usato principalmente per l'autenticazione stateless: il server genera un token al login, il client lo memorizza (localStorage o cookie httpOnly) e lo invia nell'intestazione Authorization: Bearer token con ogni richiesta. Il server deve solo verificare la firma con la sua chiave segreta, senza una ricerca nel database. I claim standard piu importanti sono sub (identificatore utente), exp (tempo di scadenza in secondi Unix), iat (tempo di emissione) e iss (emittente del token).