Keine Werbung mögen? Gehen Werbefrei Heute

JWT Encoder / Builder

EntwicklerSicherheit
ANZEIGE Entfernen?
EINGANG
Automatischer Prozess
Breite umschalten Vollbildmodus aktivieren/deaktivieren
Das Feld „alg“ wird durch die Auswahl des Algorithmus unten überschrieben.
Der Schlüssel zum Signieren des HMAC. Teilen Sie niemals echte Produktionsgeheimnisse hier.
AUSGABE
Client-Seite
Breite umschalten Vollbildmodus aktivieren/deaktivieren

Teile des Tokens (base64url)

ANZEIGE Entfernen?

Verwandte Tools

Einige andere Tools ähnlich JWT Encoder / Builder die Sie vielleicht nützlich finden.

CUID2-Generator
DatenEntwickler

SSH-Konfigurationsdatei-Generator
EntwicklerNetzwerk

.htaccess Regelgenerator
EntwicklerSicherheit

Führung

JWT Encoder / Builder

JWT Encoder / Builder

Erstellen Sie signierte JSON Web Tokens direkt im Browser. Fügen Sie einen Header und eine Payload hinzu, wählen Sie einen HMAC-Algorithmus, geben Sie das gemeinsame Geheimnis an und kopieren Sie ein fertig konfiguriertes Token für API-Tests, Debugging oder lokale Entwicklung. Alle Signiervorgänge erfolgen mit der SubtleCrypto-Web-API, sodass Ihr Geheimnis und die Behauptungen niemals den Browser verlassen.

Nutzung

  1. Bearbeiten Sie die Header (JSON) Block, um die typ und alle benutzerdefinierten Felder wie kid. Der alg Wert wird durch die Algorithmusauswahl unten überschrieben.
  2. Bearbeiten Sie die Payload (JSON) Block mit Standardbehauptungen wie iss, sub, iat, exp, plus alle benutzerdefinierten Behauptungen, die Ihr Dienst benötigt.
  3. Wählen Sie einen Algorithmus: HS256, HS384, oder HS512.
  4. Fügen Sie Ihre gemeinsames Geheimnis. Verwenden Sie eine zufällige Zeichenkette, die mindestens so lang ist wie die Ausgabelänge des Hashes, um die Sicherheitsstufe jedes Algorithmus zu erreichen.
  5. Kopieren Sie das resultierende Token aus dem Ausgabefeld oder kopieren Sie die Header-, Payload- oder Signaturteile einzeln.

Funktionen

  • Drei HMAC-Algorithmen – HS256, HS384 und HS512 decken alle gängigen HMAC-signierten JWT-Anwendungsfälle ab.
  • Echtzeit-Signierung – Das signierte Token wird neu generiert, sobald Sie ein Feld ändern, sodass Sie sofort die Wirkung jedes Änderungseffekts sehen.
  • Inline-JSON-Validierung – Falsch formatierte Header- oder Payload-JSON zeigen eine klare Fehlermeldung, bevor sie zu einem defekten Token werden.
  • Teilweise Kopieren – Kopieren Sie das vollständige Token oder ziehen Sie die base64url-kodierte Header-, Payload- oder Signaturteil einzeln ab.
  • Nur clientseitig – Die Signierung erfolgt im Browser mit SubtleCrypto. Geheimnisse und Behauptungen werden niemals an einen Server gesendet.
  • Passt mit JWT Decode zusammen – Rundreise-Tokens zwischen dem Encoder und unserem bestehenden JWT Decode-Tool, um Behauptungen zu überprüfen.

Wann Sie dieses Tool verwenden sollten

  • Testen eines API-Endpunkts, der einen Bearer-Token mit spezifischen Behauptungen erwartet.
  • Nachstellen eines fehlgeschlagenen Authentifizierungsfalls mit einem bekannten gültigen Token.
  • Unterricht oder Lernen über die Konstruktion von JWT-Unterschriften.
  • Erzeugen von kurzlebigen Tokens für lokale Entwicklung ohne einen Auth-Server aufzubauen.

Häufig gestellte Fragen

  1. Was ist ein JWT und warum wird es signiert?

    Ein JSON Web Token (JWT) ist eine kompakte, URL-sichere Zeichenkette, die aus einem Header, einer Payload und einer Unterschrift besteht. Die Unterschrift ermöglicht es dem Empfänger, zu überprüfen, dass der Header und die Payload mit dem gemeinsamen Geheimnis erstellt wurden und während der Übertragung nicht verändert wurden. Ohne eine gültige Unterschrift könnte jeder Behauptungen fälschen, weshalb jedes Token, das für Authentifizierung oder Autorisierung bestimmt ist, signiert wird.

  2. Wie funktioniert die HMAC-Unterschrift mit HS256, HS384 und HS512?

    HMAC (Hash-based Message Authentication Code) kombiniert einen geheimen Schlüssel mit einem kryptographischen Hash-Algorithmus. HS256 verwendet SHA-256, um einen 256-Bit-MAC zu erzeugen, HS384 verwendet SHA-384 und HS512 verwendet SHA-512. Der Signierer berechnet das HMAC über den base64url-kodierten Header und Payload, die durch einen Punkt verbunden sind, und fügt dann den base64url-kodierten MAC an. Jeder mit dem gleichen Geheimnis kann den MAC neu berechnen und mit dem bereitgestellten Wert vergleichen, um die Authentizität zu überprüfen.

  3. Warum verwenden JWTs base64url anstatt den Standard base64?

    Standard base64 verwendet die Zeichen +, / und =, die in URLs Prozent-gekodiert werden müssen und Probleme verursachen können, wenn Tokens als Abfrageparameter oder in HTTP-Header übergeben werden. Base64url ersetzt + durch -, / durch _ und entfernt das trailing = Padding. Dadurch entsteht eine Zeichenkette, die direkt in URLs, HTTP-Header und Cookies verwendet werden kann, ohne zusätzliche Kodierung.

  4. Was macht ein Geheimnis stark genug für HMAC-signierte JWTs?

    Für HS256 sollte das Geheimnis mindestens 32 zufällige Bytes (256 Bit) sein; für HS384 mindestens 48 Bytes; für HS512 mindestens 64 Bytes. Kurze, menschlich gewählte Passwörter sind anfällig für Brute-Force-Angriffe, da ein Angreifer, der ein einzelnes Token erfasst, das Geheimnis offline erraten kann. Erstellen Sie Geheimnisse aus einem kryptographisch zufälligen Quell und speichern Sie sie außerhalb Ihres Quellbaums. Drehen Sie sie immer dann, wenn eine Exposition vermutet wird.

Möchten Sie werbefrei genießen? Werde noch heute werbefrei

Erweiterungen installieren

IO-Tools zu Ihrem Lieblingsbrowser hinzufügen für sofortigen Zugriff und schnellere Suche

Zu Chrome-Erweiterung Zu Kantenerweiterung Zu Firefox-Erweiterung Zu Opera-Erweiterung

Die Anzeigetafel ist eingetroffen!

Anzeigetafel ist eine unterhaltsame Möglichkeit, Ihre Spiele zu verfolgen. Alle Daten werden in Ihrem Browser gespeichert. Weitere Funktionen folgen in Kürze!

ANZEIGE Entfernen?

Unverzichtbare Tools

Alle
Hintergrundentferner
KI-Bildeditor
KI-Bildgenerator
ImageKit
PDF Compressor
Bildkonverter
Einmaliger Link
ANZEIGE Entfernen?

Neuheiten

Alle
CUID2-Generator
README-Auswahlgenerator (Shields.io-Stil)
Identicon / Avatar-Generator
Generator für Webapp-Manifest von PWA
SSH-Konfigurationsdatei-Generator
.htaccess Regelgenerator
Falsche E-Mail-Adresse-Generator

Aktualisieren: Unser neuestes Werkzeug hinzugefügt am 25. Apr. 2026

ANZEIGE Entfernen?

Nachrichtenecke mit technischen Highlights

Beteiligen Sie sich

Helfen Sie uns, weiterhin wertvolle kostenlose Tools bereitzustellen

Kauf mir einen Kaffee
ANZEIGE Entfernen?