JSON Web Token (JWT)-ondertekenaar

Onderteken JWT-tokens lokaal met HMAC-geheimen of PEM/JWK-privésleutels voor API-tests en authenticatiedebugging.

Payload en header
Bewerk de JSON-claims en optionele beschermde headervelden die in het token worden ondertekend.
Helpers voor geregistreerde claims

Gebruik deze opties om veelgebruikte NumericDate-claims in de payload-JSON bij te werken.

Toont een live ondertekeningswaarde en schrijft die alleen naar payload.iat wanneer je ondertekent.

Payloadwaarde: 1713139200Ondertekeningswaarde: 1713139200

Handmatige invoer stelt een vaste exp in. Snelle offsets volgen de ondertekenings-iat en worden definitief wanneer je ondertekent.

Payloadwaarde: Niet ingesteldOndertekeningswaarde: Niet ingesteld

Het geselecteerde algoritme wordt altijd in de header geschreven. Gebruik dit veld voor waarden zoals overschrijvingen van kid of typ.

Ondertekeningssleutel
Kies een algoritme, geef het bijpassende geheim of de privésleutel op en genereer daarna een compacte JWT.

HMAC-algoritmen gebruiken een gedeeld geheim.

Gebruikt voor HS256, HS384 en HS512. Het geheim wordt niet opgeslagen in lokale opslag.

Ondertekend token
Kopieer de compacte JWT of inspecteer de exacte header-, payload- en handtekeningsegmenten.
Nog geen token ondertekend
Voeg een geldige JSON-payload en ondertekeningssleutel toe en onderteken daarna om een compacte JWT te maken.
Downloaden

Wat is een JWT-ondertekenaar?

Een JWT-ondertekenaar maakt een compacte JSON Web Token door een header en payload te serialiseren en die vervolgens te ondertekenen met een geheim of privésleutel. Het resultaat is het driedelige header.payload.signature-token dat door veel API-, OAuth- en sessiesystemen wordt gebruikt.

Wanneer gebruik je deze tool

  • Maak lokale testtokens voor API-ontwikkeling, stagingomgevingen en demo’s.
  • Vergelijk hoe verschillende algoritmen de tokenheader en handtekening veranderen.
  • Voeg claims zoals sub, iss, aud, exp, iat, scope of aangepaste applicatievelden toe zonder een wegwerpscript te schrijven.
  • Genereer tokens met gedeelde HMAC-geheimen of met RSA/ECDSA-privésleutels in PKCS#8 PEM- of JWK-vorm.

Wat moet je controleren voordat je een ondertekend token gebruikt

  • Stem het algoritme af op het sleuteltype: HS* gebruikt een gedeeld geheim, RS* en PS* gebruiken RSA-privésleutels en ES* gebruikt EC-privésleutels.
  • Voeg verval- en audience-claims toe wanneer de ontvangende service die verwacht.
  • Houd productie-privésleutels uit gedeelde browsers en machines. Deze tool draait lokaal, maar kan sleutels niet beschermen tegen een apparaat dat al is gecompromitteerd.
  • Onthoud dat ondertekenen geen versleuteling is. Iedereen die het token ontvangt, kan de header en payload decoderen.