Générateur JWT

Un JSON Web Token (JWT) est un format de token compact et sécurisé pour les URL, défini par la RFC 7519. Il est couramment utilisé pour l'authentification et l'échange sécurisé d'informations dans les applications web et les APIs. Vous pourriez avoir besoin de générer un JWT pour tester un endpoint API protégé, créer des tokens d'exemple pour la documentation ou déboguer un flux d'authentification sans backend.

Cet outil fonctionne entièrement dans votre navigateur via la WebCrypto API. Aucune donnée n'est jamais envoyée à un serveur. Cependant, nous recommandons d'utiliser une clé secrète de test plutôt que votre vrai secret de production, car les bonnes pratiques dictent de ne jamais saisir des identifiants sensibles sur des sites tiers.

L'outil prend en charge HS256 (HMAC-SHA256), HS384 (HMAC-SHA384) et HS512 (HMAC-SHA512) — les algorithmes de signature symétrique les plus utilisés pour les JWT. Il prend également en charge "none" (token non signé) à des fins de test. Les algorithmes asymétriques comme RS256 ou ES256 nécessitent une clé privée et ne sont pas pris en charge ici.

Les trois sont des algorithmes de signature basés sur HMAC qui diffèrent uniquement par la fonction de hachage SHA utilisée : HS256 utilise SHA-256 (signature 256 bits), HS384 utilise SHA-384 et HS512 utilise SHA-512. HS256 est de loin le choix le plus courant. Utilisez HS384 ou HS512 si vous avez besoin d'une signature plus solide.

Le payload est un objet JSON contenant des "claims" — des paires clé-valeur sur le sujet (utilisateur) ou la session. Les claims enregistrés standard incluent : sub (ID utilisateur), iss (émetteur), aud (audience), exp (temps d'expiration), iat (émis le) et nbf (pas avant). Vous pouvez également ajouter des claims personnalisés dont votre application a besoin.

"none" produit un JWT non signé — la section signature est vide. Cela ne doit JAMAIS être utilisé dans des environnements de production car il ne fournit aucune protection d'intégrité. Il peut être utile pour tester des parseurs ou générer des tokens pour des systèmes ne vérifiant pas les signatures, mais traitez-le toujours comme non sécurisé.

L'assistant de Claims Standard vous permet d'ajouter rapidement des claims JWT enregistrés courants à votre payload. Renseignez les champs Subject (sub), Issuer (iss) et/ou Audience (aud) et choisissez une fenêtre d'expiration. L'outil définit automatiquement iat sur le timestamp Unix actuel et calcule exp à partir de la fenêtre sélectionnée.

Un JWT comporte trois parties séparées par des points : Header (algorithme et type de token), Payload (claims) et Signature. Le détail affiche chaque partie encodée en base64url avec un code couleur pour vous permettre d'identifier visuellement la structure de votre token généré.

Les signatures basées sur HMAC sont déterministes — si le header, le payload et le secret sont identiques, la sortie sera toujours la même. Si vous voyez un token différent, vérifiez si le claim iat est mis à jour automatiquement vers le timestamp actuel, ce qui changerait le payload et donc la signature.

Cet outil est conçu pour générer et signer des tokens. Pour décoder et inspecter un JWT existant, utilisez l'outil JWT Decoder. La vérification cryptographique de signature n'est pas actuellement implémentée dans ce générateur — utilisez une bibliothèque dédiée ou le JWT Decoder pour la vérification.

L'outil affichera un message d'erreur rouge sous la zone de texte et ne générera pas de token tant que le JSON n'est pas valide. Assurez-vous que toutes les clés et valeurs de chaîne sont entourées de guillemets doubles et que la structure globale est un objet JSON valide.

Pour HS256, la clé doit faire au moins 32 octets (256 bits). Pour HS384 utilisez au moins 48 octets, et pour HS512 au moins 64 octets. Utiliser une clé plus courte est techniquement autorisé mais réduit la sécurité.