Firmador de JWT

Escribe una cabecera, un payload y un secreto compartido. La herramienta calcula la firma HMAC-SHA-256, HMAC-SHA-384 o HMAC-SHA-512 con SubtleCrypto, integrado en el navegador, y te muestra el token firmado header.payload.signature. Todo se queda en esta pestaña — el secreto nunca se sube.

Algoritmo

alg, typ, kid …

El campo alg debe coincidir con el algoritmo que elegiste arriba. Si no, nos negamos a firmar.

iss, sub, aud, iat, nbf, exp …
al menos 32 bytes para HS256 (RFC 7518 §3.2)
— bytes — bits de entropía
Escribe una cabecera, un payload y un secreto para firmar.
Cómo usar este firmador
  • Elige un algoritmo. HS256 es el predeterminado; es lo que la mayoría de las API esperan.
  • Escribe una cabecera como JSON. La cabecera mínima válida es {"alg":"HS256"}. Un typ con valor "JWT" es lo habitual.
  • Escribe un payload como JSON. Los claims estándar (iss, sub, aud, exp, nbf, iat) se resaltan debajo del desglose.
  • Escribe o genera un secreto compartido. HS256 requiere al menos 32 bytes; avisamos si es más corto.
  • Pulsa Cargar muestra para obtener un ejemplo funcional que puedes editar.
  • El token firmado se actualiza mientras escribes. Cópialo con el botón o seleccionando el cuadro.
  • Esta herramienta firma localmente. El secreto nunca sale de tu navegador. No pegues un secreto real de producción en una máquina que no sea de confianza.
  • La verificación es tarea del servidor. Esta herramienta es un firmador, no un verificador — combínala con el decodificador de JWT para inspeccionar los tokens que recibes.