Create and generate JSON Web Tokens (JWT) online with custom headers, payloads, and signatures. Free JWT generator tool for developers.
JWT creator, JWT generator, JSON Web Token generator, create JWT, generate JWT, authentication token generator
Ein JWT‑Ersteller hilft dabei, signierte Token für Entwicklung und Tests zu erzeugen, indem Header, Payload (Claims) und Signatur zusammengeführt werden. Nutzen Sie ihn, um Authentifizierungs‑Flows zu prototypisieren, Authorization: Bearer‑Integrationen zu prüfen und zu verstehen, wie Algorithmen wie HS256 (HMAC) und RS256 (RSA) Daten signieren.
Was ist ein JWT?
Ein JSON Web Token besteht aus drei Base64URL‑kodierten Teilen, getrennt durch Punkte: header.payload.signature. Der Header definiert typ und alg (z. B. HS256, RS256). Die Payload enthält Claims wie iss (Issuer), sub (Subject), aud (Audience), exp (Ablauf) sowie eigene Felder. Die Signatur wird über Header und Payload mit einem geteilten Geheimnis (HMAC) oder einem privaten Schlüssel (RSA/ECDSA) berechnet. Empfänger können so Integrität und Authentizität zustandslos prüfen.
Wie JWTs funktionieren
Ein Server authentifiziert einen Nutzer, signiert ein Token und gibt es an den Client zurück. Clients senden es in Authorization: Bearer <JWT>. Der Server verifiziert die Signatur, prüft exp und nbf und setzt Berechtigungen anhand von Scopes/Rollen durch. Da JWTs eigenständig sind, skalieren sie gut über Microservices und CDNs, erfordern jedoch strikte Schlüsselrotation, kurze Lebensdauern und eine sorgfältige Claim‑Gestaltung, um Aufblähung oder Leaks zu vermeiden.
Über das JWT‑Ersteller‑Tool
Wählen Sie HS256/HS384/HS512 für HMAC mit gemeinsamem Geheimnis oder RS256/ES256 für asymmetrische Schlüssel. Setzen Sie Standard‑Claims (iss, sub, aud, exp, nbf, iat, jti) und fügen Sie eigene Claims hinzu, dann signieren Sie zur Erzeugung des JWT. Kopieren Sie das Token in curl oder Ihren HTTP‑Client, um geschützte Endpunkte zu testen. Geben Sie keine echten Geheimnisse im Browser preis; private Schlüssel gehören nie in Client‑Code.
FAQ
Welche Algorithmen werden unterstützt?
Gängige Algorithmen sind none (unsignierte Token), HS256/384/512 (HMAC) sowie RS256/384/512 oder ES256/384/512 (RSA/ECDSA). Die Verfügbarkeit hängt von der Kryptografie‑Unterstützung des Browsers ab.
Sind Tokens verschlüsselt?
Nein – JWTs sind signiert, nicht verschlüsselt. Jeder mit dem Token kann die Payload lesen. Für Vertraulichkeit verwenden Sie JWE (JSON Web Encryption) oder Transportsicherheit und vermeiden Sie sensible Claims.
JWTs sind mächtig, wenn sie sorgfältig eingesetzt werden: Wählen Sie einen schlanken Claim‑Satz, bevorzugen Sie kurze Laufzeiten und rotieren Sie Schlüssel. Dieses Tool unterstützt beim Lernen und Prototyping, bevor produktionsreife Token‑Dienste implementiert werden.