¿Odias los anuncios? Ir Sin publicidad Hoy

Codificador / Construidor de JWT

DesarrolladorSeguridad
ANUNCIO · ¿ELIMINAR?
APORTE
Proceso automático
Alternar ancho Entrar/Salir de pantalla completa
El campo alg se sobrescribe con el selector de Algoritmo que está debajo.
Clave de firma utilizada para el HMAC. Nunca comparta secretos reales de producción aquí.
PROD.
Lado cliente
Alternar ancho Entrar/Salir de pantalla completa

Partes del token (base64url)

ANUNCIO · ¿ELIMINAR?

Relacionadas

Algunas otras herramientas similares a Codificador / Construidor de JWT que te pueda resultar útil.

Generador CUID2
DatosDesarrollador

Generador de archivo de configuración SSH
DesarrolladorRedes

Generador de reglas .htaccess
DesarrolladorSeguridad

Guía

Codificador / Constructor de JWT

Codificador / Construidor de JWT

Cree tokens firmados de JSON Web directamente en su navegador. Ingrese un encabezado y una carga, elija un algoritmo HMAC, proporcione el secreto compartido y copie un token listo para usar para pruebas de API, depuración o desarrollo local. Todos los procesos de firma se realizan mediante la API Web SubtleCrypto, por lo que su secreto y sus declaraciones nunca abandonan la página.

Cómo Usar

  1. Edite el Encabezado (JSON) bloque para incluir el typ y cualquier campo personalizado como kid. El alg valor se sobrescribe con el selector de algoritmo que está debajo.
  2. Edite el Carga (JSON) bloque con declaraciones estándar como iss, sub, iat, exp, más cualquier declaración personal que necesite su servicio.
  3. Elige un algoritmo: HS256, HS384, o HS512.
  4. Pega tu secreto compartido. Utilice una cadena aleatoria de al menos la misma longitud que la salida del hash para coincidir con el nivel de seguridad de cada algoritmo.
  5. Copie el token resultante del cuadro de salida, o copie individualmente el encabezado, la carga o la firma.

Características

  • Tres algoritmos HMAC – HS256, HS384 y HS512 cubren todos los casos comunes de uso de tokens JWT firmados con HMAC.
  • Firma en tiempo real – El token firmado se vuelve a generar cada vez que se edita cualquier campo, así que se ve inmediatamente el efecto de cada cambio.
  • Validación de JSON en línea – Si el encabezado o la carga JSON está mal formado, se muestra un mensaje de error claro antes de que se convierta en un token dañado.
  • Copiar por partes – Copie el token completo o obtenga el encabezado, la carga o la firma codificada en base64url por separado.
  • Solo del lado del cliente – La firma se realiza en su navegador usando SubtleCrypto. Los secretos y las declaraciones nunca se envían a un servidor.
  • Complementa con JWT Decode – Circulación de tokens entre el encoder y nuestra herramienta existente JWT Decode para verificar las declaraciones.

Cuándo utilizar esta herramienta

  • Prueba de un punto final de API que espera un token de tipo bearer con declaraciones específicas.
  • Reproducción de una escena de autenticación fallida con un token conocido como válido.
  • Enseñanza o aprendizaje de cómo se construyen las firmas de JWT.
  • Generación de tokens de vida corta para desarrollo local sin necesidad de poner en marcha un servidor de autenticación.

Preguntas frecuentes

  1. ¿Qué es un JWT y por qué está firmado?

    Un JSON Web Token (JWT) es una cadena compacta y segura para URLs compuesta por un encabezado, una carga y una firma. La firma permite al receptor verificar que el encabezado y la carga fueron generados con conocimiento del secreto compartido y que no fueron modificados durante la transmisión. Sin una firma válida, cualquiera podría falsificar declaraciones, por eso cada token destinado a autenticación o autorización está firmado.

  2. ¿Cómo funciona la firma HMAC con HS256, HS384 y HS512?

    HMAC (Hash-based Message Authentication Code) combina una clave secreta con una función de hash criptográfica. HS256 utiliza SHA-256 para producir un MAC de 256 bits, HS384 utiliza SHA-384 y HS512 utiliza SHA-512. El firmante calcula HMAC sobre el encabezado y la carga codificada en base64url unidos por un punto, y luego añade la MAC codificada en base64url. Cualquiera con la misma clave puede recomputar la MAC y compararla para verificar la autenticidad.

  3. ¿Por qué los JWT utilizan base64url en lugar de base64 estándar?

    La base64 estándar utiliza los caracteres +, / y = que deben ser codificados porcentualmente en URLs y pueden causar problemas cuando los tokens se pasan como parámetros de consulta o en encabezados HTTP. La base64url reemplaza + por -, / por _ y elimina el relleno = al final. Esto produce una cadena que puede colocarse directamente en URLs, encabezados HTTP y cookies sin necesidad de codificación adicional.

  4. ¿Qué hace que un secreto sea lo suficientemente fuerte para JWT firmados con HMAC?

    Para HS256, el secreto debe tener al menos 32 bytes aleatorios (256 bits); para HS384, al menos 48 bytes; para HS512, al menos 64 bytes. Contraseñas cortas y elegidas por humanos son vulnerables a ataques de fuerza bruta porque un atacante que capture un solo token puede adivinar secretos fuera de línea. Genere secretos a partir de una fuente aleatoria criptográfica, guarde los secretos fuera de su árbol de fuentes y gírelos cada vez que se sospeche exposición.

¿Quieres eliminar publicidad? Adiós publicidad hoy

Instalar extensiones

Agregue herramientas IO a su navegador favorito para obtener acceso instantáneo y búsquedas más rápidas

añadir Extensión de Chrome añadir Extensión de borde añadir Extensión de Firefox añadir Extensión de Opera

¡El marcador ha llegado!

Marcador es una forma divertida de llevar un registro de tus juegos, todos los datos se almacenan en tu navegador. ¡Próximamente habrá más funciones!

ANUNCIO · ¿ELIMINAR?

Herramientas clave

Ver todo
Eliminador de fondo
Editor de imágenes con IA
Generador de imágenes con IA
Kit de imágenes
Compresor de PDF
Convertidor de imágenes
Enlace único
ANUNCIO · ¿ELIMINAR?

Los recién llegados

Ver todo
Generador CUID2
Generador de insignia de README (estilo Shields.io)
Generador de identicon / Avatar
Generador de Manifest de Aplicación Web PWA
Generador de archivo de configuración SSH
Generador de reglas .htaccess
Generador de Dirección de Correo Falso

Actualizar: Nuestro última herramienta se agregó el 25 abr. 2026

ANUNCIO · ¿ELIMINAR?

Noticias Aspectos técnicos clave

Involucrarse

Ayúdanos a seguir brindando valiosas herramientas gratuitas

Invítame a un café
ANUNCIO · ¿ELIMINAR?