Generador de JWT

Un JSON Web Token (JWT) es un formato de token compacto y seguro para URL definido por RFC 7519. Se usa comúnmente para autenticación e intercambio seguro de información en aplicaciones web y APIs. Puedes necesitar generar un JWT para probar un endpoint de API protegido, crear tokens de muestra para documentación o depurar un flujo de autenticación sin ejecutar un backend.

Esta herramienta funciona completamente en tu navegador usando la WebCrypto API. Nunca se envían datos a un servidor. Sin embargo, recomendamos usar una clave secreta de prueba en lugar de tu secreto de producción real, ya que las buenas prácticas dictan no introducir credenciales sensibles en sitios web de terceros.

La herramienta admite HS256 (HMAC-SHA256), HS384 (HMAC-SHA384) y HS512 (HMAC-SHA512), los algoritmos de firma simétrica más utilizados para JWTs. También admite "none" (token sin firma) para pruebas. Los algoritmos asimétricos como RS256 o ES256 requieren una clave privada y no son compatibles aquí.

Los tres son algoritmos de firma basados en HMAC que solo difieren en la función hash SHA utilizada: HS256 usa SHA-256 (firma de 256 bits), HS384 usa SHA-384 y HS512 usa SHA-512. HS256 es con diferencia la opción más común. Usa HS384 o HS512 si necesitas una firma más fuerte o tu infraestructura lo requiere.

El payload es un objeto JSON que contiene "claims" — pares clave-valor sobre el sujeto (usuario) o la sesión. Los claims registrados estándar incluyen: sub (ID de usuario), iss (emisor), aud (audiencia), exp (tiempo de expiración), iat (emitido en) y nbf (no antes de). También puedes añadir claims personalizados que tu aplicación necesite.

"none" produce un JWT sin firma — la sección de firma está vacía. NUNCA debe usarse en entornos de producción ya que no proporciona protección de integridad. Puede ser útil para probar analizadores o generar tokens para sistemas que no verifican firmas, pero siempre trátalo como inseguro.

El Asistente de Claims Estándar te permite añadir rápidamente claims JWT registrados comunes a tu payload. Rellena los campos Sujeto (sub), Emisor (iss) y/o Audiencia (aud) y elige una ventana de expiración. La herramienta establece automáticamente iat al timestamp Unix actual y calcula exp a partir de la ventana seleccionada.

Un JWT tiene tres partes separadas por puntos: Cabecera (algoritmo y tipo de token), Payload (claims) y Firma. El desglose muestra cada parte codificada en base64url con código de colores para que puedas identificar visualmente la estructura de tu token generado.

Las firmas basadas en HMAC son deterministas — si la cabecera, el payload y el secreto son idénticos, la salida siempre será la misma. Si ves un token diferente, comprueba si el claim iat (emitido en) se está actualizando automáticamente al timestamp actual, lo que cambiaría el payload y por tanto la firma.

Esta herramienta está diseñada para generar y firmar tokens. Para decodificar e inspeccionar un JWT existente, usa la herramienta JWT Decoder. La verificación criptográfica de firma no está implementada actualmente en este generador — usa una biblioteca dedicada o el JWT Decoder para la verificación.

La herramienta mostrará un mensaje de error rojo debajo del área de texto y no generará un token hasta que el JSON sea válido. Asegúrate de que todas las claves y valores de cadena estén entre comillas dobles y que la estructura general sea un objeto JSON válido.

Para HS256, la clave debe tener al menos 32 bytes (256 bits). Para HS384 usa al menos 48 bytes, y para HS512 al menos 64 bytes. Usar una clave más corta está técnicamente permitido pero reduce la seguridad. Usa la herramienta Generador de Contraseñas para crear un secreto criptográficamente aleatorio de la longitud adecuada.