Posso aggiungere iat o exp?

Inserisci iat e exp direttamente nel payload JSON. Lo strumento non li compila automaticamente, così mantieni il pieno controllo delle claim.

Generatore di JWT — HS256 nel browser

Generatore di JWT (HS256)

Privacy by design — tutto gira nel tuo browser

Genera un JWT firmato HS256 da un payload JSON e un secret condiviso. Header, body e firma sono calcolati nel browser via Web Crypto.

Perché solo HS256

HS256 è l’algoritmo JWT più diffuso e usa HMAC con SHA-256 — Web Crypto lo supporta nativamente. RS256 ed ES256 richiedono una chiave privata e arriveranno quando il generatore di keypair maturerà.

Il secret viene inviato a un server

No. La firma avviene nel browser con crypto.subtle. Secret e payload non lasciano questa scheda.

Quanto deve essere lungo il secret

Almeno 32 byte (256 bit) per HS256. Secret più corti indeboliscono la sicurezza, anche se la firma continua a verificare.

Domande frequenti

Perché solo HS256?: HS256 è l’algoritmo JWT più diffuso e usa HMAC con SHA-256 — Web Crypto lo supporta nativamente. RS256 ed ES256 richiedono una chiave privata e arriveranno quando il generatore di keypair maturerà.
Il secret viene inviato a un server?: No. La firma avviene nel browser con crypto.subtle. Secret e payload non lasciano questa scheda.
Quanto deve essere lungo il secret?: Almeno 32 byte (256 bit) per HS256. Secret più corti indeboliscono la sicurezza, anche se la firma continua a verificare.
Posso aggiungere iat o exp?: Inserisci iat e exp direttamente nel payload JSON. Lo strumento non li compila automaticamente, così mantieni il pieno controllo delle claim.