Kostenlos Online JWT Generator
Signierte JWT-Token online generieren. Unterstützt HS256, RS256, ES256 und mehr. Standard- und benutzerdefinierte Claims hinzufügen, Ablaufzeit festlegen und den signierten Token sofort kopieren. 100 % clientseitig.
100% Client-seitig · Ihre Daten verlassen nie Ihren Browseriat is set automatically to the current time.
No custom claims yet. Click "Add claim" to add one.
Anleitung JWT Generator
Wählen Sie oben einen Algorithmus aus. HS256 ist für die meisten Anwendungsfälle die empfohlene Standardwahl.
- HMAC-Algorithmen (HS256/HS384/HS512) – geben Sie einen geheimen Schlüssel ein oder klicken Sie auf Generieren, um ein zufälliges 256-Bit-Geheimnis zu erstellen.
- Asymmetrische Algorithmen (RS256/PS256/ES256) – ein temporäres Schlüsselpaar wird automatisch im Browser erzeugt.
Füllen Sie die Standard-Claims aus: sub, iss, aud und die Ablaufdauer. Fügen Sie benutzerdefinierte Claims über den dynamischen Zeileneditor hinzu. Klicken Sie auf Token generieren oder drücken Sie Ctrl/Cmd+Enter. Kopieren Sie das Ergebnis mit der Kopier-Schaltfläche.
Häufig gestellte Fragen
Was ist der Unterschied zwischen JWT-Generator und JWT-Decoder?
Der JWT-Decoder liest einen vorhandenen Token und zeigt Header, Payload und Ablaufstatus an. Der JWT-Generator erstellt brandneue, korrekt signierte Token aus den von Ihnen angegebenen Claims. Verwenden Sie den Generator, um Test-Token für die Entwicklung zu erstellen, und den Decoder, um in der Produktion empfangene Token zu prüfen.
Welchen Algorithmus sollte ich verwenden?
HS256 wird am breitesten unterstützt und eignet sich gut, wenn signierende und verifizierende Partei denselben Dienst nutzen. RS256 und ES256 sind asymmetrisch und sinnvoll für Microservices oder Drittanbieter-API-Konsumenten. Vermeiden Sie HS384/HS512, sofern Ihre Sicherheitsrichtlinie keine größere HMAC-Ausgabe erfordert.
Ist der generierte Token sicher?
Bei HMAC-Algorithmen ist die Sicherheit des Tokens nur so stark wie Ihr geheimer Schlüssel. Verwenden Sie die Schaltfläche „Generieren", um ein kryptografisch sicheres, zufälliges 256-Bit-Geheimnis zu erstellen. Bei asymmetrischen Algorithmen wird ein temporäres Schlüsselpaar zu Demonstrationszwecken erzeugt – verwenden Sie in der Produktion Ihren eigenen privaten Schlüssel.
Was sind benutzerdefinierte Claims?
Mit benutzerdefinierten Claims können Sie anwendungsspezifische Daten in den Token-Payload einbetten – beispielsweise eine Benutzerrolle, eine Mandanten-ID oder eine Berechtigungsgruppe. Klicken Sie auf „Claim hinzufügen", geben Sie einen Schlüsselnamen und einen Wert ein und wählen Sie den Werttyp (string, number oder boolean).
Wird mein geheimer Schlüssel an einen Server gesendet?
Nein. Die gesamte JWT-Signierung erfolgt vollständig in Ihrem Browser über die Web Crypto API (SubtleCrypto). Ihr geheimer Schlüssel und die Payload-Daten verlassen Ihren Browser niemals.
Was bedeutet „Läuft ab in: Nie"?
Die Auswahl von „Nie" lässt den exp-Claim vollständig weg und erzeugt einen Token, der niemals abläuft. Token ohne Ablaufzeit sollten nur in kontrollierten Umgebungen verwendet werden – in der Produktion sollten Sie stets eine Ablaufzeit festlegen.