Firmatore JSON Web Token (JWT)

Firma JWT localmente con segreti HMAC o chiavi private PEM/JWK per test API e debug dell'autenticazione.

Payload e header
Modifica i claim JSON e i campi opzionali dell'header protetto che saranno firmati nel token.
Helper per claim registrati

Usa questi controlli per aggiornare i claim NumericDate comuni nel payload JSON.

Mostra in tempo reale il valore usato per la firma e lo scrive in payload.iat solo quando firmi.

Valore del payload: 1713139200Valore usato per la firma: 1713139200

L'inserimento manuale imposta un exp fisso. Gli offset rapidi seguono l'iat usato per la firma e vengono finalizzati quando firmi.

Valore del payload: Non impostatoValore usato per la firma: Non impostato

L'algoritmo selezionato viene sempre scritto nell'header. Usa questo campo per valori come kid o override di typ.

Chiave di firma
Scegli un algoritmo, fornisci il segreto o la chiave privata corrispondente, quindi genera un JWT compatto.

Gli algoritmi HMAC usano un segreto condiviso.

Usato per HS256, HS384 e HS512. Il segreto non viene salvato nello storage locale.

Token firmato
Copia il JWT compatto o ispeziona i segmenti esatti di header, payload e firma.
Nessun token ancora firmato
Aggiungi un payload JSON valido e una chiave di firma, quindi firma per creare un JWT compatto.
Scarica

Che cos’è un firmatore JWT?

Un firmatore JWT crea un JSON Web Token compatto serializzando un header e un payload, quindi firmandoli con un segreto o una chiave privata. Il risultato è il token in tre parti header.payload.signature usato da molti sistemi API, OAuth e di sessione.

Quando usare questo strumento

  • Crea token di test locali per sviluppo API, ambienti di staging e demo.
  • Confronta come algoritmi diversi cambiano l’header e la firma del token.
  • Aggiungi claim come sub, iss, aud, exp, iat, scope o campi applicativi personalizzati senza scrivere uno script usa e getta.
  • Genera token con segreti condivisi HMAC o con chiavi private RSA/ECDSA in formato PKCS#8 PEM o JWK.

Cosa controllare prima di usare un token firmato

  • Abbina l’algoritmo al tipo di chiave: HS* usa un segreto condiviso, RS* e PS* usano chiavi private RSA, e ES* usa chiavi private EC.
  • Aggiungi claim di scadenza e audience quando il servizio ricevente li richiede.
  • Tieni le chiavi private di produzione fuori da browser e macchine condivisi. Questo strumento viene eseguito localmente, ma non può proteggere le chiavi da un dispositivo già compromesso.
  • Ricorda che la firma non è crittografia. Chiunque riceva il token può decodificare header e payload.