JWT-Generator

Ein JSON Web Token (JWT) ist ein kompaktes, URL-sicheres Token-Format, das in RFC 7519 definiert ist. Es wird häufig für Authentifizierung und sicheren Informationsaustausch in Webanwendungen und APIs verwendet. Sie benötigen möglicherweise einen JWT, um einen geschützten API-Endpunkt zu testen, Beispiel-Token für die Dokumentation zu erstellen oder einen Authentifizierungsablauf ohne Backend zu debuggen.

Dieses Tool läuft vollständig in Ihrem Browser über die WebCrypto API. Es werden niemals Daten an einen Server gesendet. Wir empfehlen jedoch, hier einen Test-Schlüssel anstelle Ihres echten Produktions-Schlüssels zu verwenden, da bewährte Praktiken vorschreiben, niemals sensible Anmeldedaten auf Drittanbieter-Websites einzugeben.

Das Tool unterstützt HS256 (HMAC-SHA256), HS384 (HMAC-SHA384) und HS512 (HMAC-SHA512) — die am häufigsten verwendeten symmetrischen Signierungsalgorithmen für JWTs. Es unterstützt auch "none" (unsignierter Token) für Testzwecke. Asymmetrische Algorithmen wie RS256 oder ES256 erfordern einen privaten Schlüssel und werden hier nicht unterstützt.

Alle drei sind HMAC-basierte Signierungsalgorithmen, die sich nur in der verwendeten SHA-Hash-Funktion unterscheiden: HS256 verwendet SHA-256 (256-Bit-Signatur), HS384 verwendet SHA-384 und HS512 verwendet SHA-512. HS256 ist bei weitem die häufigste Wahl. Verwenden Sie HS384 oder HS512, wenn Sie eine stärkere Signatur benötigen.

Der Payload ist ein JSON-Objekt mit "Claims" — Schlüssel-Wert-Paaren über das Subjekt (Benutzer) oder die Sitzung. Standard-Claims umfassen: sub (Benutzer-ID), iss (Aussteller), aud (Zielgruppe), exp (Ablaufzeit), iat (ausgestellt am) und nbf (nicht vor). Sie können auch benutzerdefinierte Claims hinzufügen.

"none" erzeugt einen unsignierten JWT — der Signaturabschnitt ist leer. Dies sollte NIEMALS in Produktionsumgebungen verwendet werden, da es keinen Integritätsschutz bietet. Es kann zum Testen von Parsern oder zur Erstellung von Token für Systeme nützlich sein, die keine Signaturen überprüfen.

Der Standard-Claims-Assistent ermöglicht es Ihnen, schnell gängige JWT-registrierte Claims zu Ihrem Payload hinzuzufügen. Füllen Sie die Felder Subject (sub), Issuer (iss) und/oder Audience (aud) aus und wählen Sie ein Ablaufzeitfenster. Das Tool setzt iat automatisch auf den aktuellen Unix-Zeitstempel und berechnet exp aus dem ausgewählten Fenster.

Ein JWT hat drei durch Punkte getrennte Teile: Header (Algorithmus und Token-Typ), Payload (Claims) und Signature. Die Aufschlüsselung zeigt jeden base64url-kodierten Teil farbkodiert, damit Sie die Struktur Ihres generierten Tokens visuell erkennen können.

HMAC-basierte Signaturen sind deterministisch — wenn Header, Payload und Secret identisch sind, ist die Ausgabe immer gleich. Wenn Sie einen anderen Token sehen, prüfen Sie, ob der iat-Claim automatisch auf den aktuellen Zeitstempel aktualisiert wird, was den Payload und damit die Signatur ändern würde.

Dieses Tool ist zum Generieren und Signieren von Token ausgelegt. Zum Dekodieren und Inspizieren eines vorhandenen JWT verwenden Sie das JWT-Decoder-Tool. Die kryptografische Signaturverifizierung ist in diesem Generator nicht implementiert.

Das Tool zeigt eine rote Fehlermeldung unter dem Textbereich an und generiert keinen Token, bis das JSON gültig ist. Stellen Sie sicher, dass alle Schlüssel und Zeichenkettenwerte in doppelten Anführungszeichen stehen und die Gesamtstruktur ein gültiges JSON-Objekt ist.

Für HS256 sollte der Schlüssel mindestens 32 Byte (256 Bit) lang sein. Für HS384 verwenden Sie mindestens 48 Byte und für HS512 mindestens 64 Byte. Die Verwendung eines kürzeren Schlüssels ist technisch erlaubt, verringert aber die Sicherheit.