Les pubs vous déplaisent ? Aller Sans pub Auj.

JWT Encoder / Constructeur

PromoteurSécurité
ANNONCE · Supprimer ?
SAISIR
Processus automatique
Basculer la largeur Entrer/Quitter le mode plein écran
Le champ alg est remplacé par le sélecteur d'algorithme ci-dessous.
Clé de signature utilisée pour l'HMAC. Ne partage jamais de secrets réels en production ici.
SORTIR
Côté client
Basculer la largeur Entrer/Quitter le mode plein écran

Parties du jeton (base64url)

ANNONCE · Supprimer ?

Outils associés

D'autres outils similaires à JWT Encoder / Constructeur que vous pourriez trouver utile.

Générateur de CUID2
DonnéesPromoteur

Générateur de fichier de configuration SSH
PromoteurMise en réseau

Générateur de règle .htaccess
PromoteurSécurité

Guide

Encodeur / Constructeur de JWT

JWT Encoder / Constructeur

Construisez des jetons JSON signés directement dans votre navigateur. Insérez une en-tête et un contenu, choisissez un algorithme HMAC, fournissez le secret partagé, et copiez un jeton prêt à l'usage pour des tests d'API, du débogage ou le développement local. Tous les signes se font avec l'API Web SubtleCrypto, donc votre secret et vos revendications ne quittent jamais la page.

Comment utiliser

  1. Modifier le En-tête (JSON) block pour inclure le typ et toutes les champs personnalisés telles que kid. La alg valeur est remplacée par le sélecteur d'algorithme ci-dessous.
  2. Modifier le Contenu (JSON) block avec des revendications standard comme iss, sub, iat, exp, plus toutes les revendications que votre service a besoin.
  3. Choisir un algorithme : HS256, HS384, ou HS512.
  4. Collez votre secret partagé. Utilisez une chaîne aléatoire de longueur au moins égale à la sortie de hachage pour correspondre au niveau de sécurité de chaque algorithme.
  5. Copiez le jeton résultant dans la zone de sortie, ou copiez séparément l'en-tête, le contenu ou la signature.

Caractéristiques

  • Trois algorithmes HMAC – HS256, HS384 et HS512 couvrent tous les cas d'usage courants des jetons JWT signés avec HMAC.
  • Signature en temps réel – Le jeton signé se régénère chaque fois que vous modifiez un champ, afin que vous voyiez immédiatement l'effet de chaque changement.
  • Validation JSON en ligne – Une erreur claire apparaît avant que l'en-tête ou le contenu JSON mal formé ne devienne un jeton corrompu.
  • Copie par partie – Copiez le jeton complet ou récupérez séparément l'en-tête, le contenu ou la signature encodés en base64url.
  • Côté client uniquement – La signature se fait dans votre navigateur à l'aide de SubtleCrypto. Les secrets et les revendications ne sont jamais envoyés vers un serveur.
  • Associe à JWT Decode – Circulation de jetons entre l'encodeur et notre outil existant JWT Decode pour vérifier les revendications.

Quand utiliser cet outil

  • Test d'une API qui attend un jeton bearer avec des revendications spécifiques.
  • Reproduire une situation d'authentification échouée avec un jeton connu et valide.
  • Apprendre ou enseigner la construction des signatures JWT.
  • Générer des jetons à durée limitée pour le développement local sans mettre en place un serveur d'authentification.

FAQ

  1. Qu'est-ce qu'un JWT et pourquoi est-il signé ?

    Un Jeton Web JSON (JWT) est une chaîne compacte, sécurisée et adaptée aux URLs, composée d'une en-tête, d'un contenu et d'une signature. La signature permet au destinataire de vérifier que l'en-tête et le contenu ont été produits avec connaissance du secret partagé et n'ont pas été modifiés en transit. Sans une signature valide, n'importe qui pourrait fabriquer des revendications, c'est pourquoi chaque jeton destiné à l'authentification ou à l'autorisation est signé.

  2. Comment fonctionne la signature HMAC avec HS256, HS384 et HS512 ?

    L'HMAC (Code d'authentification basé sur le hachage) combine une clé secrète avec une fonction de hachage cryptographique. HS256 utilise SHA-256 pour produire un MAC de 256 bits, HS384 utilise SHA-384, et HS512 utilise SHA-512. Le signataire calcule l'HMAC sur l'en-tête et le contenu encodés en base64url, joints par un point, puis ajoute l'HMAC encodé en base64url. Quiconque possède la même clé peut recalculer le MAC et le comparer pour vérifier l'authenticité.

  3. Pourquoi les JWT utilisent-ils base64url au lieu de base64 standard ?

    La base64 standard utilise les caractères +, / et = qui doivent être encodés par pourcentage dans les URLs et peuvent poser des problèmes lorsqu'ils sont transmis comme paramètres de requête ou dans les en-têtes HTTP. La base64url remplace + par -, / par _, et supprime le padding =. Cela produit une chaîne qui peut être placée directement dans les URLs, les en-têtes HTTP et les cookies sans nécessiter d'encodage supplémentaire.

  4. Qu'est-ce qui rend une clé forte pour les JWT signés avec HMAC ?

    Pour HS256, la clé doit comporter au moins 32 octets aléatoires (256 bits) ; pour HS384 au moins 48 octets ; pour HS512 au moins 64 octets. Des mots de passe courts choisis par l'humain sont vulnérables aux attaques par force brute, car un attaquant qui capture un seul jeton peut deviner les clés en dehors du système. Générez des clés à partir d'une source aléatoire cryptographique, stockez-les en dehors de votre arborescence de code, et tournez-les chaque fois que l'exposition est suspectée.

Envie d'une expérience sans pub ? Passez à la version sans pub

Installez nos extensions

Ajoutez des outils IO à votre navigateur préféré pour un accès instantané et une recherche plus rapide

Sur Extension Chrome Sur Extension de bord Sur Extension Firefox Sur Extension de l'opéra

Le Tableau de Bord Est Arrivé !

Tableau de Bord est une façon amusante de suivre vos jeux, toutes les données sont stockées dans votre navigateur. D'autres fonctionnalités arrivent bientôt !

ANNONCE · Supprimer ?

Outils essentiels

Tout voir
Suppression d'arrière-plan
Éditeur d'images AI
Générateur d'images IA
ImageKit
Compresseur PDF
Convertisseur d'images
Lien à usage unique
ANNONCE · Supprimer ?

Nouveautés

Tout voir
Générateur de CUID2
Générateur d'icône README (style Shields.io)
Générateur d'identicon / Avatar
Générateur de manifeste d'application web PWA
Générateur de fichier de configuration SSH
Générateur de règle .htaccess
Générateur d'adresse e-mail fictive

Mise à jour: Notre dernier outil a été ajouté le 25 avr. 2026

ANNONCE · Supprimer ?

Coin des nouvelles avec points forts techniques

Impliquez-vous

Aidez-nous à continuer à fournir des outils gratuits et précieux

Offre-moi un café
ANNONCE · Supprimer ?