— À propos de cet outil
Un JSON Web Token (JWT) est un jeton signé et compatible URL, composé de trois parties — en-tête, charge utile et signature — utilisé pour transporter des revendications d'authentification entre les services. Ce générateur prend votre charge utile JSON, la signe avec l'algorithme et la clé que vous choisissez, et produit un jeton prêt à l'emploi. Pour HS256/384/512, vous fournissez un secret partagé ; pour RS256, vous collez une clé privée PKCS#8 et la clé publique correspondante la vérifie ailleurs.
La signature s'effectue localement avec la bibliothèque jose au-dessus de l'API Web Crypto, de sorte que votre charge utile et vos clés ne touchent jamais un serveur. Utilisez-le pour générer des jetons de test pour une API, reproduire un bug d'authentification ou comprendre exactement à quoi correspond la signature d'un en-tête et d'une charge utile donnés. Pour inspecter un jeton existant à la place, utilisez le décodeur JWT.
Votre charge utile et votre clé de signature restent dans votre navigateur — le jeton est signé localement.
Questions fréquentes
Quelle est la différence entre HS256 et RS256 ?
HS256 utilise un seul secret partagé à la fois pour signer et vérifier (symétrique). RS256 utilise une clé privée pour signer et une clé publique distincte pour vérifier (asymétrique), ce qui vous permet de distribuer la clé publique sans exposer la capacité de signer. Choisissez en fonction de ce qu'attend votre vérificateur.
Cet outil définit-il automatiquement exp, iat ou d'autres revendications ?
Non — il signe exactement la charge utile que vous fournissez, vous gardez donc le contrôle. Ajoutez vous-même à votre JSON des revendications enregistrées comme exp (expiration) ou iat (émis le), sous forme d'horodatages Unix en secondes.
Comment lire un jeton que je possède déjà ?
Utilisez le décodeur JWT, qui scinde un jeton en son en-tête et sa charge utile et affiche les revendications sans avoir besoin du secret.