Generatore JWT

Benvenuti nel Generatore JWT, uno strumento online veloce e gratuito per la creazione di JSON Web Token firmati. Sia che tu stia testando un flusso di autenticazione, costruendo un'API, effettuando il debug di un'integrazione o imparando come funzionano i JWT internamente, questo generatore ti offre il controllo completo sull'header del token, sui claim del payload e sull'algoritmo di firma HMAC. Ottieni un token HS256, HS384 o HS512 valido in un clic e ispeziona ogni segmento fianco a fianco.

Cos'è un JSON Web Token?

Un JSON Web Token (JWT) è un formato di credenziale compatto e sicuro per l'URL definito da RFC 7519. Un JWT trasporta claim relativi a un soggetto tra due parti e ne prova l'integrità attraverso una firma crittografica. Poiché il token è autonomo, il ricevente può convalidarlo senza dover richiamare l'emittente — una proprietà che rende i JWT la spina dorsale dell'autenticazione stateless per le moderne applicazioni web e mobili.

Ogni JWT è composto da tre parti codificate in base64url unite da punti:

• Header — un oggetto JSON che dichiara il tipo di token (typ) e l'algoritmo di firma (alg).
• Payload — un oggetto JSON che contiene i claim, come l'ID utente, il tempo di scadenza e qualsiasi dato personalizzato.
• Signature (Firma) — una firma HMAC o RSA sull'header e sul payload codificati che li protegge dalle manomissioni.

Come funziona il Generatore JWT

Questo strumento segue l'esatta ricetta di firma JWT di RFC 7519 §7.1:

1. Serializza il JSON dell'header nella sua forma compatta (senza spazi bianchi) e codificalo in base64url.
2. Fai lo stesso per il JSON del payload.
3. Concatena i due con un separatore a punto. Questo è l'input della firma.
4. Calcola l'HMAC dell'input della firma utilizzando il tuo segreto e l'algoritmo SHA-2 scelto.
5. Codifica in base64url i byte della firma risultante.
6. Concatena il tutto come header.payload.signature.

Cosa rende questo generatore diverso

• Visualizzazione a colori a tre segmenti — header (rosa), payload (viola), firma (ciano) così puoi individuare istantaneamente ogni parte.
• Tavolozza Quick Claims — inserimento con un clic di iss, sub, aud, iat, nbf e jti.
• Aiuto per la scadenza — pulsanti preimpostati per 1 ora, 1 giorno, 7 giorni o 30 giorni che calcolano automaticamente il timestamp Unix corretto.
• Anteprima del token in tempo reale — l'header e il payload codificati si aggiornano mentre scrivi, così puoi vedere come ogni modifica cambia il token.
• Sincronizzazione intelligente dell'header — la modifica dell'algoritmo aggiorna automaticamente il campo alg dell'header.
• Interruttore segreto Base64 — se il tuo segreto è memorizzato come base64 (la convenzione JWS per le chiavi binarie), abilita l'opzione e lo strumento lo decodificherà prima della firma.
• Pulsanti di copia per segmento — copia header, payload, firma o il token completo in modo indipendente.
• Riepilogo dei claim — i claim standard riconosciuti sono elencati con una descrizione e un timestamp leggibile dall'uomo dove applicabile.

Scegliere l'algoritmo giusto

Le tre varianti HMAC supportate da questo strumento sono funzionalmente identiche tranne che per l'hash SHA-2 sottostante e la lunghezza della firma:

• HS256 — HMAC con SHA-256. Firma a 256 bit. L'impostazione predefinita per quasi tutte le librerie di emissione JWT e la scelta più ampiamente interoperabile.
• HS384 — HMAC con SHA-384. Firma a 384 bit. Margine leggermente più ampio contro future crittoanalisi.
• HS512 — HMAC con SHA-512. Firma a 512 bit. Utile quando la politica richiede l'hash standard più lungo.

Tutti e tre si basano su un segreto condiviso che sia il firmatario che il verificatore detengono. RFC 7518 §3.2 richiede che la chiave sia lunga almeno quanto l'output dell'hash: 256 bit per HS256, 384 bit per HS384, 512 bit per HS512.

Claim registrati standard

RFC 7519 §4.1 definisce un piccolo set di claim standard che gli emittenti e i verificatori JWT dovrebbero riconoscere. Sono tutti opzionali ma ampiamente supportati:

• iss (issuer) — identifica chi ha creato il token. Spesso un URL o un nome di servizio.
• sub (subject) — identifica di chi tratta il token, tipicamente un ID utente.
• aud (audience) — identifica il destinatario a cui è destinato il token. Può essere una singola stringa o un array.
• exp (expiration time) — timestamp Unix dopo il quale il token deve essere rifiutato.
• nbf (not before) — timestamp Unix prima del quale il token non deve essere accettato.
• iat (issued at) — timestamp Unix che registra quando è stato creato il token.
• jti (JWT ID) — un identificatore univoco che consente di revocare o tracciare i token individualmente.

Come usare questo strumento

1. Scegli un algoritmo di firma — fai clic su HS256, HS384 o HS512. L'header viene aggiornato automaticamente per corrispondere.
2. Modifica l'header (opzionale) — l'header predefinito contiene alg e typ. Aggiungi un kid (ID chiave) personalizzato se il tuo verificatore ne ha bisogno.
3. Costruisci il payload — digita i tuoi claim come JSON o fai clic sui pulsanti Quick Claims per inserire campi standard. L'aiutante per la scadenza scrive un timestamp Unix corretto per la durata relativa scelta.
4. Imposta il segreto — inserisci il tuo segreto condiviso HMAC. Attiva l'icona dell'occhio per svelarlo. Se il tuo segreto è codificato in base64, abilita la casella di controllo in modo che lo strumento lo decodifichi prima della firma.
5. Genera il JWT — fai clic su Genera JWT. Il token completo, le tre schede dei segmenti, il diagramma della struttura e il riepilogo dei claim riconosciuti vengono renderizzati insieme.
6. Copia ciò di cui hai bisogno — usa i pulsanti Copia per segmento o il pulsante Copia Token per portare il valore codificato in Postman, curl o nella tua app client.

Casi d'uso comuni

Autenticazione e Autorizzazione

• Emissione di access token dopo un login riuscito.
• Codifica dell'identità dell'utente (sub) più i claim di ruolo o permesso.
• Firma di token a breve termine (15–60 minuti) e rinnovo degli stessi secondo necessità.

Test di integrazione API

• Crea token fittizi per testare come la tua API risponde a claim scaduti, futuri o malformati.
• Genera JWT di test per unit test e pipeline CI.
• Riproduci token simili alla produzione in un ambiente locale senza colpire il vero server di autenticazione.

Debug Single Sign-On (SSO)

• Confronta un JWT noto come corretto con quello inviato dal tuo provider per trovare discrepanze nelle specifiche.
• Controlla l'algoritmo di firma e l'ID chiave (kid) utilizzato da un emittente a monte.

Domande frequenti

Il JWT creato qui è un token reale e valido?

Sì. Il token è firmato con HMAC sull'header e sul payload codificati in modo canonico. Qualsiasi libreria JWT che utilizzi lo stesso segreto lo convaliderà con successo.

Perché il mio token sembra identico a quello che genero altrove?

Perché i JWT sono deterministici: dati lo stesso header, payload e segreto, ogni libreria conforme produce l'esatta stessa stringa. Se noti una differenza, controlla che l'ordine di serializzazione JSON, l'ortografia delle chiavi e la codifica del segreto corrispondano.

Posso decodificare un JWT per verificare ciò che ho generato?

Sì. Associa questo strumento a un decodificatore JWT per ispezionare i segmenti. La decodifica inverte solo il passaggio base64url — la verifica della firma richiede comunque il segreto.

Perché il mio segreto viene rifiutato perché troppo corto?

RFC 7518 raccomanda una chiave di almeno la lunghezza dell'output dell'hash: 256 bit per HS256. Lo strumento stesso non impone un minimo, ma un verificatore ben programmato potrebbe rifiutare chiavi corte. Usa un segreto di 32+ byte generato casualmente nell'uso reale.

Questo strumento supporta RS256, ES256 o EdDSA?

Non ancora — questo strumento si concentra sugli algoritmi basati su HMAC perché richiedono solo una stringa condivisa. Gli algoritmi asimmetrici (RS*, PS*, ES*, EdDSA) richiedono coppie di chiavi e gestione PEM che sono più adatte a strumenti dedicati.

Il mio segreto e il payload vengono inviati al server?

Il modulo viene inviato tramite HTTPS per calcolare la firma. Nulla viene registrato o memorizzato oltre la durata della richiesta. In ogni caso, non inserire segreti di produzione qui — trattalo come un ambiente di test pubblico.

Risorse aggiuntive

• RFC 7519 - JSON Web Token (JWT)
• RFC 7515 - JSON Web Signature (JWS)
• RFC 7518 - JSON Web Algorithms (JWA)
• JSON Web Token - Wikipedia