JSON Web Token (JWT)-Signer

Signieren Sie JWTs lokal mit HMAC-Secrets oder privaten PEM/JWK-Schlüsseln für API-Tests und Authentifizierungs-Debugging.

Payload und Header
Bearbeiten Sie die JSON-Claims und optionalen geschützten Header-Felder, die in das Token signiert werden.
Hilfen für registrierte Claims

Mit diesen Steuerelementen aktualisieren Sie gängige NumericDate-Claims im Payload-JSON.

Zeigt einen Live-Signierwert an und schreibt ihn erst beim Signieren in payload.iat.

Payload-Wert: 1713139200Signierwert: 1713139200

Manuelle Eingabe setzt einen festen exp-Wert. Schnellversätze folgen dem Signierwert für iat und werden beim Signieren endgültig festgelegt.

Payload-Wert: Nicht gesetztSignierwert: Nicht gesetzt

Der ausgewählte Algorithmus wird immer in den Header geschrieben. Verwenden Sie dieses Feld für Werte wie kid oder typ-Überschreibungen.

Signaturschlüssel
Wählen Sie einen Algorithmus aus, geben Sie das passende Secret oder den privaten Schlüssel an und erzeugen Sie dann ein kompaktes JWT.

HMAC-Algorithmen verwenden ein gemeinsames Secret.

Wird für HS256, HS384 und HS512 verwendet. Das Secret wird nicht im lokalen Speicher gespeichert.

Signiertes Token
Kopieren Sie das kompakte JWT oder prüfen Sie die genauen Header-, Payload- und Signatursegmente.
Noch kein Token signiert
Fügen Sie eine gültige JSON-Payload und einen Signaturschlüssel hinzu und signieren Sie dann, um ein kompaktes JWT zu erstellen.
Herunterladen

Was ist ein JWT-Signer?

Ein JWT-Signer erstellt ein kompaktes JSON Web Token, indem er einen Header und eine Payload serialisiert und sie anschließend mit einem Secret oder privaten Schlüssel signiert. Das Ergebnis ist das dreiteilige header.payload.signature-Token, das von vielen API-, OAuth- und Sitzungssystemen verwendet wird.

Wann dieses Tool verwendet werden sollte

  • Erstellen Sie lokale Test-Token für API-Entwicklung, Staging-Umgebungen und Demos.
  • Vergleichen Sie, wie verschiedene Algorithmen den Token-Header und die Signatur verändern.
  • Fügen Sie Claims wie sub, iss, aud, exp, iat, scope oder benutzerdefinierte Anwendungsfelder hinzu, ohne ein Wegwerfskript zu schreiben.
  • Erzeugen Sie Token mit gemeinsamen HMAC-Secrets oder mit privaten RSA/ECDSA-Schlüsseln in PKCS#8 PEM- oder JWK-Form.

Was vor der Verwendung eines signierten Tokens geprüft werden sollte

  • Stimmen Sie den Algorithmus auf den Schlüsseltyp ab: HS* verwendet ein gemeinsames Secret, RS* und PS* verwenden private RSA-Schlüssel, und ES* verwendet private EC-Schlüssel.
  • Fügen Sie Ablauf- und Zielgruppen-Claims hinzu, wenn der empfangende Dienst sie erwartet.
  • Halten Sie private Produktionsschlüssel von gemeinsam genutzten Browsern und Rechnern fern. Dieses Tool läuft lokal, kann Schlüssel aber nicht vor einem bereits kompromittierten Gerät schützen.
  • Denken Sie daran, dass Signieren keine Verschlüsselung ist. Jeder, der das Token erhält, kann Header und Payload dekodieren.