Кодировать JWT Онлайн
Создавайте JWT-токены с подписью HMAC-SHA256 для тестирования и разработки. Бесплатно, в браузере, без загрузки данных.
Зачем использовать этот энкодер
JWT для разработки — без лишних сложностей
Полная приватность
Токен генерируется с помощью Web Crypto API прямо в вашем браузере. Ни payload, ни секретный ключ не покидают ваше устройство.
Настоящая криптографическая подпись
Используем HMAC-SHA256 через Web Crypto API — тот же алгоритм, что применяют продакшен-серверы. Токен валиден и проверяем.
Совместим с любой JWT-библиотекой
Сгенерированный токен соответствует стандарту RFC 7519. Работает с jsonwebtoken (Node.js), PyJWT (Python), java-jwt и любой совместимой реализацией.
Мгновенно, без сетевых зависимостей
Никаких серверных вызовов. Генерация происходит за миллисекунды независимо от соединения.
Как это работает
Три шага — никаких сложностей
Задайте payload
Напишите JSON payload с нужными claims: sub, exp, iat или любым пользовательским полем.
Введите ваш секретный ключ
Введите секретный ключ для подписи HMAC-SHA256. Используйте только тестовые ключи — никогда не вводите продакшен-секреты в браузерные инструменты.
Скопируйте сгенерированный токен
Подписанный JWT-токен генерируется мгновенно в вашем браузере. Скопируйте для использования в тестах API.
FAQ
Остались вопросы?
HMAC-SHA256 — алгоритм подписи, комбинирующий ваш секретный ключ с header и payload в Base64URL-кодировке для создания криптографической подписи. Это гарантирует, что токен не был изменён.
НЕТ — никогда не вводите продакшен-секретные ключи в браузерные инструменты. Данный инструмент предназначен для генерации тестовых токенов в среде разработки. Ключи остаются на вашем устройстве, но риск раскрытия существует при вводе реальных секретов в любое веб-поле.
HS256 (HMAC-SHA256) — алгоритм по умолчанию и наиболее распространённый для симметричных JWT. Это стандарт для большинства реализаций, не требующих асимметричной криптографии (RS256/ES256).
Да. Сгенерированный JWT-токен можно декодировать с помощью нашего инструмента JWT Decode для проверки header и payload. Помните: payload лишь закодирован в Base64URL, а не зашифрован — любой может прочитать его содержимое.
Да. Добавьте любую пару ключ-значение JSON в payload. Стандартные claims, такие как sub (subject), iss (issuer) и aud (audience), обрабатываются так же, как пользовательские — это просто соглашения стандарта JWT.
exp (expiration) и iat (issued at) — временные метки Unix в секундах. Для токена, истекающего через 1 час: iat — текущая временная метка, exp — iat + 3600. Текущую временную метку можно получить через Date.now()/1000 в консоли браузера.
Рабочий процесс создания JWT, процесс подписи HMAC-SHA256, Web Crypto API для криптографии, тестирование JWT в разработке API
JSON Web Token (JWT) — открытый стандарт (RFC 7519), определяющий компактный самодостаточный формат для безопасной передачи информации между сторонами в виде JSON-объекта. JWT состоит из трёх частей, разделённых точками: header (тип токена и алгоритм подписи), payload (claims или утверждения) и signature (криптографическая подпись). Каждая часть кодируется в Base64URL, что делает токен безопасным для использования в URL и HTTP-заголовках.
Алгоритм HS256 (HMAC с SHA-256) — наиболее распространённый для симметричных JWT: и эмитент, и получатель используют один и тот же секретный ключ. Подпись вычисляется как HMAC-SHA256(Base64URL(header) + '.' + Base64URL(payload), secret). Web Crypto API браузера реализует HMAC-SHA256 нативно, позволяя генерировать криптографически валидные токены без отправки данных на сервер.
В разработке REST API JWT используется главным образом для stateless-аутентификации: сервер генерирует токен при входе, клиент сохраняет его (localStorage или httpOnly cookie) и отправляет в заголовке Authorization: Bearer <token> с каждым запросом. Серверу нужно лишь проверить подпись своим секретным ключом, без запроса к базе данных. Наиболее важные стандартные claims: sub (идентификатор пользователя), exp (время истечения в секундах Unix), iat (время выпуска) и iss (эмитент токена).