Koduj JWT Online
Twórz podpisane tokeny JWT z HMAC-SHA256 do testowania i programowania. Bezpłatnie, w Twojej przeglądarce, bez przesyłania danych.
Dlaczego warto użyć tego kodera
JWT do programowania bez zbędnych komplikacji
Pełna prywatność
Token jest generowany z użyciem Web Crypto API bezpośrednio w Twojej przeglądarce. Ani payload, ani klucz tajny nigdy nie opuszczają Twojego urządzenia.
Prawdziwe podpisywanie kryptograficzne
Używamy HMAC-SHA256 przez Web Crypto API — tego samego algorytmu, którego używają serwery produkcyjne. Token jest prawidłowy i weryfikowalny.
Kompatybilny z każdą biblioteką JWT
Wygenerowany token jest zgodny ze standardem RFC 7519. Działa z jsonwebtoken (Node.js), PyJWT (Python), java-jwt i każdą zgodną implementacją.
Natychmiastowy, bez zależności od sieci
Brak wywołań serwera. Generowanie odbywa się w milisekundach niezależnie od Twojego połączenia.
Jak to działa
Trzy kroki, żadnych komplikacji
Zdefiniuj payload
Napisz payload JSON z potrzebnymi claimami: sub, exp, iat lub dowolnym polem niestandardowym.
Podaj swój klucz tajny
Wpisz klucz tajny do podpisywania HMAC-SHA256. Używaj wyłącznie kluczy testowych — nigdy produkcyjnych sekretów w narzędziach przeglądarkowych.
Skopiuj wygenerowany token
Podpisany token JWT jest generowany natychmiast w Twojej przeglądarce. Skopiuj go do użycia w testach API.
FAQ
Masz pytania?
HMAC-SHA256 to algorytm podpisywania łączący Twój klucz tajny z zakodowanym w Base64URL nagłówkiem i payloadem w celu wytworzenia podpisu kryptograficznego. Gwarantuje to, że token nie został zmodyfikowany.
NIE — nigdy nie wpisuj produkcyjnych kluczy tajnych do narzędzi przeglądarkowych. Narzędzie to służy do generowania tokenów testowych w środowiskach deweloperskich. Klucze pozostają na Twoim urządzeniu, ale ryzyko ujawnienia istnieje zawsze, gdy wpisujesz prawdziwe sekrety w jakiekolwiek pole tekstowe w sieci.
HS256 (HMAC-SHA256) to domyślny i najpopularniejszy algorytm dla symetrycznych tokenów JWT. Jest to standard dla większości implementacji niewymagających kryptografii asymetrycznej (RS256/ES256).
Tak. Wygenerowany token JWT można zdekodować za pomocą naszego narzędzia JWT Decode, aby zweryfikować nagłówek i payload. Pamiętaj, że payload jest jedynie zakodowany w Base64URL, a nie szyfrowany — każdy może odczytać jego zawartość.
Tak. Dodaj dowolną parę klucz-wartość JSON do payloadu. Standardowe claimy takie jak sub (subject), iss (issuer) i aud (audience) są traktowane tak samo jak niestandardowe — są to po prostu konwencje standardu JWT.
exp (expiration) i iat (issued at) to uniksowe znaczniki czasu w sekundach. Dla tokenu wygasającego za 1 godzinę: iat to bieżący znacznik czasu, a exp to iat + 3600. Bieżący znacznik czasu możesz uzyskać za pomocą Date.now()/1000 w konsoli przeglądarki.
Przepływ pracy tworzenia JWT, proces podpisywania HMAC-SHA256, Web Crypto API dla kryptografii, testowanie JWT w programowaniu API
JSON Web Token (JWT) to otwarty standard (RFC 7519) definiujący kompaktowy, samowystarczalny format do bezpiecznego przesyłania informacji między stronami jako obiekt JSON. Token JWT składa się z trzech części oddzielonych kropkami: nagłówka (typ tokenu i algorytm podpisywania), payloadu (claimy lub asercje) i podpisu (podpis kryptograficzny). Każda część jest zakodowana w Base64URL, co sprawia, że token jest bezpieczny do używania w adresach URL i nagłówkach HTTP.
Algorytm HS256 (HMAC z SHA-256) jest najpopularniejszy dla symetrycznych tokenów JWT: zarówno wystawca, jak i odbiorca dzielą ten sam klucz tajny. Podpis jest obliczany jako HMAC-SHA256(Base64URL(header) + '.' + Base64URL(payload), secret). Web Crypto API przeglądarki implementuje HMAC-SHA256 natywnie, umożliwiając generowanie kryptograficznie prawidłowych tokenów bez wysyłania jakichkolwiek danych na serwer.
W programowaniu REST API JWT jest używany głównie do bezstanowego uwierzytelniania: serwer generuje token przy logowaniu, klient przechowuje go (w localStorage lub ciasteczku httpOnly) i wysyła w nagłówku Authorization: Bearer <token> przy każdym żądaniu. Serwer musi jedynie zweryfikować podpis swoim kluczem tajnym, bez przeszukiwania bazy danych. Najważniejsze standardowe claimy to sub (identyfikator użytkownika), exp (czas wygaśnięcia w sekundach Unix), iat (czas wydania) i iss (wystawca tokenu).