Генератор JWT

Добро пожаловать в Генератор JWT — быстрый и бесплатный онлайн-инструмент для создания подписанных JSON Web Token. Если вы тестируете поток аутентификации, создаете API, отлаживаете интеграцию или изучаете, как работают JWT изнутри, этот генератор дает вам полный контроль над заголовком токена, утверждениями полезной нагрузки и алгоритмом подписи HMAC. Получите валидный токен HS256, HS384 или HS512 одним кликом и проверьте каждый сегмент по отдельности.

Что такое JSON Web Token?

JSON Web Token (JWT) — это компактный, безопасный для URL формат учетных данных, определенный стандартом RFC 7519. JWT переносит утверждения о субъекте между двумя сторонами и подтверждает свою целостность с помощью криптографической подписи. Поскольку токен является самодостаточным, получатель может проверить его без обращения к издателю — свойство, которое делает JWT основой аутентификации без сохранения состояния для современных веб- и мобильных приложений.

Каждый JWT строится из трех частей в кодировке base64url, соединенных точками:

• Header (Заголовок) — JSON-объект, который объявляет тип токена (typ) и алгоритм подписи (alg).
• Payload (Полезная нагрузка) — JSON-объект, содержащий утверждения (claims), такие как ID пользователя, время истечения и любые пользовательские данные.
• Signature (Подпись) — подпись HMAC или RSA поверх закодированного заголовка и нагрузки, которая защищает их от несанкционированного изменения.

Как работает Генератор JWT

Этот инструмент следует точному рецепту подписи JWT из RFC 7519 §7.1:

1. Сериализует JSON заголовка в компактную форму (без пробелов) и кодирует его в base64url.
2. Делает то же самое для JSON полезной нагрузки.
3. Соединяет их через точку. Это входные данные для подписи.
4. Вычисляет HMAC входных данных, используя ваш секрет и выбранный алгоритм SHA-2.
5. Кодирует полученные байты подписи в base64url.
6. Соединяет всё вместе как header.payload.signature.

Что делает этот генератор особенным

• Цветовая визуализация трех сегментов — заголовок (розовый), полезная нагрузка (фиолетовый), подпись (голубой), чтобы вы могли мгновенно распознать каждую часть.
• Палитра быстрых утверждений — вставка iss, sub, aud, iat, nbf и jti одним кликом.
• Помощник срока действия — кнопки пресетов на 1 час, 1 день, 7 дней или 30 дней, которые автоматически вычисляют правильную метку времени Unix.
• Предварительный просмотр в реальном времени — закодированные заголовок и нагрузка обновляются по мере ввода, так что вы видите, как каждое изменение влияет на токен.
• Умная синхронизация заголовка — смена алгоритма автоматически обновляет поле alg в заголовке.
• Переключатель Base64 для секрета — если ваш секрет хранится в base64 (соглашение JWS для бинарных ключей), включите эту опцию, и инструмент декодирует его перед подписью.
• Кнопки копирования для каждого сегмента — копируйте заголовок, нагрузку, подпись или весь токен по отдельности.
• Сводка утверждений — распознанные стандартные утверждения перечисляются с описанием и понятной человеку меткой времени, где это применимо.

Выбор подходящего алгоритма

Три варианта HMAC, поддерживаемые этим инструментом, функционально идентичны, за исключением базового хеша SHA-2 и длины подписи:

• HS256 — HMAC с SHA-256. 256-битная подпись. Стандарт по умолчанию для почти всех библиотек JWT и наиболее совместимый выбор.
• HS384 — HMAC с SHA-384. 384-битная подпись. Чуть больший запас прочности против будущего криптоанализа.
• HS512 — HMAC с SHA-512. 512-битная подпись. Полезно, когда политика требует использования самого длинного стандартного хеша.

Все три полагаются на общий секрет (shared secret), который есть и у подписывающей, и у проверяющей стороны. RFC 7518 §3.2 требует, чтобы ключ был не короче результата хеширования: 256 бит для HS256, 384 бит для HS384, 512 бит для HS512.

Стандартные зарегистрированные утверждения

RFC 7519 §4.1 определяет небольшой набор стандартных утверждений, которые должны распознавать издатели и проверяющие JWT. Все они необязательны, но широко поддерживаются:

• iss (issuer) — идентифицирует того, кто создал токен. Часто это URL или имя сервиса.
• sub (subject) — идентифицирует субъекта токена, обычно это ID пользователя.
• aud (audience) — идентифицирует получателя, для которого предназначен токен. Может быть строкой или массивом.
• exp (expiration time) — метка времени Unix, после которой токен должен быть отклонен.
• nbf (not before) — метка времени Unix, до которой токен не должен приниматься.
• iat (issued at) — метка времени Unix, фиксирующая момент создания токена.
• jti (JWT ID) — уникальный идентификатор, позволяющий отзывать токены или отслеживать их индивидуально.

Как использовать этот инструмент

1. Выберите алгоритм подписи — нажмите HS256, HS384 или HS512. Заголовок обновится автоматически.
2. Отредактируйте заголовок (необязательно) — заголовок по умолчанию содержит alg и typ. Добавьте кастомный kid (ID ключа), если это требуется вашему проверяющему.
3. Сформируйте полезную нагрузку — введите ваши утверждения в формате JSON или используйте кнопки быстрых утверждений. Помощник срока действия запишет корректную метку Unix для выбранной длительности.
4. Установите секрет — введите ваш общий секрет HMAC. Нажмите на иконку глаза, чтобы увидеть его. Если ваш секрет закодирован в base64, активируйте соответствующий чекбокс.
5. Генерируйте JWT — нажмите «Генерировать JWT». Полный токен, карточки трех сегментов, схема структуры и сводка утверждений отобразятся вместе.
6. Скопируйте нужное — используйте кнопки копирования сегментов или кнопку «Копировать токен», чтобы перенести значение в Postman, curl или ваше клиентское приложение.

Типичные варианты использования

Аутентификация и авторизация

• Выпуск токенов доступа после успешного входа в систему.
• Кодирование идентификатора пользователя (sub) вместе с ролями или правами доступа.
• Подпись краткосрочных токенов (15–60 минут) и их обновление по мере необходимости.

Тестирование интеграции API

• Создание фиктивных токенов для проверки реакции вашего API на истекшие, будущие или некорректные утверждения.
• Генерация эталонных JWT для модульных тестов и CI-конвейеров.
• Воспроизведение токенов, похожих на рабочие, в локальной среде без обращения к реальному серверу авторизации.

Отладка Single Sign-On (SSO)

• Сравнение заведомо исправного JWT с тем, который присылает ваш провайдер, для поиска отклонений от спецификации.
• Проверка алгоритма подписи и ID ключа (kid), используемого внешним издателем.

Часто задаваемые вопросы

Является ли созданный здесь JWT настоящим, валидным токеном?

Да. Токен подписан с помощью HMAC поверх канонически закодированного заголовка и нагрузки. Любая библиотека JWT, использующая тот же секрет, успешно его проверит.

Почему мой токен выглядит идентично тому, что я генерирую в другом месте?

Потому что JWT детерминированы: при одинаковом заголовке, полезной нагрузке и секрете любая соответствующая спецификации библиотека выдаст одну и ту же строку. Если есть различия, проверьте порядок сериализации JSON, написание ключей и кодировку секрета.

Могу ли я декодировать JWT, чтобы проверить результат?

Да. Используйте этот инструмент вместе с декодером JWT для осмотра сегментов. Декодирование просто обращает шаг base64url — для проверки подписи все равно потребуется секрет.

Почему мой секрет отклоняется как слишком короткий?

RFC 7518 рекомендует ключ длиной не менее длины результата хеша: 256 бит для HS256. Сам инструмент не ограничивает минимальную длину, но корректно работающий проверяющий (verifier) может отклонить короткие ключи. В реальной практике используйте случайно сгенерированный секрет длиной 32+ байта.

Поддерживает ли этот инструмент RS256, ES256 или EdDSA?

Пока нет — этот инструмент сфокусирован на алгоритмах на основе HMAC, так как для них нужна только общая строка. Асимметричные алгоритмы (RS*, PS*, ES*, EdDSA) требуют пар ключей и работы с форматом PEM, что лучше подходит для специализированных инструментов.

Отправляются ли мои секрет и нагрузка на сервер?

Форма отправляется через HTTPS для вычисления подписи. Ничего не логируется и не хранится дольше времени жизни запроса. Тем не менее, не вводите здесь секреты из production — относитесь к этому как к публичной среде тестирования.

Дополнительные ресурсы

• RFC 7519 - JSON Web Token (JWT)
• RFC 7515 - JSON Web Signature (JWS)
• RFC 7518 - JSON Web Algorithms (JWA)
• JSON Web Token - Википедия