Generator JWT

Witaj w Generatorze JWT, szybkim i darmowym narzędziu online do tworzenia podpisanych JSON Web Tokenów. Niezależnie od tego, czy testujesz przepływ uwierzytelniania, budujesz API, debugujesz integrację czy uczysz się, jak JWT działają od środka, ten generator daje Ci pełną kontrolę nad nagłówkiem tokena, roszczeniami w ładunku (payload) i algorytmem podpisującym HMAC. Wygeneruj poprawny token HS256, HS384 lub HS512 jednym kliknięciem i sprawdź każdy segment obok siebie.

Co to jest JSON Web Token?

JSON Web Token (JWT) to kompaktowy, bezpieczny dla adresów URL format poświadczeń zdefiniowany przez RFC 7519. JWT przenosi roszczenia dotyczące podmiotu między dwiema stronami i udowadnia swoją integralność za pomocą podpisu kryptograficznego. Ponieważ token jest samowystarczalny, odbiorca może go zweryfikować bez konieczności ponownego kontaktu z wystawcą — właściwość ta sprawia, że JWT są fundamentem bezstanowego uwierzytelniania w nowoczesnych aplikacjach internetowych i mobilnych.

Każdy JWT składa się z trzech części zakodowanych w base64url, połączonych kropkami:

• Nagłówek (Header) — obiekt JSON deklarujący typ tokena (typ) i algorytm podpisywania (alg).
• Ładunek (Payload) — obiekt JSON zawierający roszczenia, takie jak identyfikator użytkownika, czas wygaśnięcia i wszelkie niestandardowe dane.
• Podpis (Signature) — podpis HMAC lub RSA nad zakodowanym nagłówkiem i ładunkiem, który chroni je przed manipulacją.

Jak działa Generator JWT

To narzędzie postępuje zgodnie z dokładną recepturą podpisywania JWT z RFC 7519 §7.1:

1. Serializuje JSON nagłówka do formy kompaktowej (bez spacji) i koduje go w base64url.
2. Robi to samo dla JSON-a ładunku.
3. Łączy oba elementy separatorem w postaci kropki. Jest to wejście do podpisu.
4. Oblicza HMAC wejścia do podpisu przy użyciu Twojego tajnego klucza i wybranego algorytmu SHA-2.
5. Koduje wynikowe bajty podpisu w base64url.
6. Łączy wszystko jako nagłówek.ładunek.podpis.

Co wyróżnia ten generator

• Trzysegmentowa wizualizacja kolorystyczna — nagłówek (różowy), ładunek (fioletowy), podpis (cyjan), dzięki czemu natychmiast rozpoznasz każdą część.
• Paleta Szybkich Roszczeń — wstawianie iss, sub, aud, iat, nbf oraz jti jednym kliknięciem.
• Pomocnik wygasania — przyciski dla 1 godziny, 1 dnia, 7 dni lub 30 dni, które automatycznie obliczają poprawny znacznik czasu Unix.
• Podgląd tokena na żywo — zakodowany nagłówek i ładunek aktualizują się podczas pisania, dzięki czemu widzisz, jak każda edycja zmienia token.
• Inteligentna synchronizacja nagłówka — zmiana algorytmu automatycznie aktualizuje pole alg w nagłówku.
• Przełącznik klucza Base64 — jeśli Twój klucz jest przechowywany jako base64 (konwencja JWS dla kluczy binarnych), włącz tę opcję, a narzędzie zdekoduje go przed podpisaniem.
• Przyciski kopiowania segmentów — kopiuj nagłówek, ładunek, podpis lub pełny token niezależnie.
• Podsumowanie roszczeń — rozpoznane standardowe roszczenia są wymienione z opisem i czytelnym dla człowieka znacznikiem czasu tam, gdzie to możliwe.

Wybór właściwego algorytmu

Trzy warianty HMAC obsługiwane przez to narzędzie są funkcjonalnie identyczne, z wyjątkiem bazowego skrótu SHA-2 i długości podpisu:

• HS256 — HMAC z SHA-256. 256-bitowy podpis. Domyślny wybór dla prawie każdej biblioteki wystawiającej JWT i najbardziej kompatybilna opcja.
• HS384 — HMAC z SHA-384. 384-bitowy podpis. Nieco większy margines bezpieczeństwa przed przyszłą kryptoanalizą.
• HS512 — HMAC z SHA-512. 512-bitowy podpis. Przydatny, gdy polityka wymaga najdłuższego standardowego skrótu.

Wszystkie trzy opierają się na współdzielonym kluczu, który posiadają zarówno wystawca, jak i weryfikator. RFC 7518 §3.2 wymaga, aby klucz był co najmniej tak długi jak wynik skrótu: 256 bitów dla HS256, 384 bity dla HS384, 512 bitów dla HS512.

Standardowe zarejestrowane roszczenia

RFC 7519 §4.1 definiuje mały zestaw standardowych roszczeń, które wystawcy i weryfikatorzy JWT powinni rozpoznawać. Wszystkie są opcjonalne, ale szeroko obsługiwane:

• iss (issuer) — identyfikuje, kto utworzył token. Często URL lub nazwa usługi.
• sub (subject) — identyfikuje, kogo dotyczy token, zazwyczaj identyfikator użytkownika.
• aud (audience) — identyfikuje odbiorcę, dla którego przeznaczony jest token. Może to być pojedynczy ciąg znaków lub tablica.
• exp (expiration time) — znacznik czasu Unix, po którym token musi zostać odrzucony.
• nbf (not before) — znacznik czasu Unix, przed którym token nie może zostać zaakceptowany.
• iat (issued at) — znacznik czasu Unix rejestrujący moment utworzenia tokena.
• jti (JWT ID) — unikalny identyfikator, który pozwala na unieważnianie lub śledzenie pojedynczych tokenów.

Jak korzystać z tego narzędzia

1. Wybierz algorytm podpisywania — kliknij HS256, HS384 lub HS512. Nagłówek zostanie automatycznie zaktualizowany.
2. Edytuj nagłówek (opcjonalnie) — domyślny nagłówek zawiera alg i typ. Dodaj niestandardowe kid (identyfikator klucza), jeśli Twój weryfikator go wymaga.
3. Zbuduj ładunek (payload) — wpisz swoje roszczenia jako JSON lub kliknij przyciski Szybkich Roszczeń, aby wstawić standardowe pola. Pomocnik wygasania wpisuje poprawny znacznik czasu Unix dla wybranego czasu trwania.
4. Ustaw tajny klucz — wprowadź współdzielony klucz HMAC. Kliknij ikonę oka, aby go odkryć. Jeśli Twój klucz jest zakodowany w base64, zaznacz pole wyboru, aby narzędzie zdekodowało go przed podpisaniem.
5. Generuj JWT — kliknij Generuj JWT. Pełny token, karty trzech segmentów, schemat struktury i podsumowanie rozpoznanych roszczeń zostaną wyrenderowane razem.
6. Skopiuj to, czego potrzebujesz — użyj przycisków kopiowania segmentów lub przycisku Kopiuj Token, aby przenieść zakodowaną wartość do Postman, curl lub aplikacji klienckiej.

Typowe przypadki użycia

Uwierzytelnianie i autoryzacja

• Wystawianie tokenów dostępu po pomyślnym zalogowaniu.
• Kodowanie tożsamości użytkownika (sub) oraz roszczeń o rolach lub uprawnieniach.
• Podpisywanie krótkotrwałych tokenów (15–60 minut) i odświeżanie ich w razie potrzeby.

Testowanie integracji API

• Budowanie próbnych tokenów w celu przetestowania odpowiedzi API na wygasłe, przyszłe lub błędne roszczenia.
• Generowanie tokenów JWT dla testów jednostkowych i rurociągów CI.
• Reprodukcja tokenów podobnych do produkcyjnych w środowisku lokalnym bez konieczności łączenia się z prawdziwym serwerem uwierzytelniającym.

Debugowanie Single Sign-On (SSO)

• Porównanie znanego, poprawnego JWT z tym, który wysyła Twój dostawca, w celu znalezienia odstępstw od specyfikacji.
• Sprawdzanie algorytmu podpisywania i identyfikatora klucza (kid) używanego przez nadrzędnego wystawcę.

Najczęściej zadawane pytania

Czy utworzony tutaj JWT jest prawdziwym, ważnym tokenem?

Tak. Token jest podpisany metodą HMAC nad kanonicznym, zakodowanym nagłówkiem i ładunkiem. Każda biblioteka JWT, która używa tego samego klucza, pomyślnie go zweryfikuje.

Dlaczego mój token wygląda identycznie jak ten wygenerowany gdzie indziej?

Ponieważ JWT są deterministyczne: przy tym samym nagłówku, ładunku i kluczu każda zgodna biblioteka produkuje dokładnie ten sam ciąg znaków. Jeśli widzisz różnicę, sprawdź, czy kolejność serializacji JSON, pisownia kluczy i kodowanie tajemnicy są zgodne.

Czy mogę zdekodować JWT, aby zweryfikować to, co wygenerowałem?

Tak. Połącz to narzędzie z dekoderem JWT, aby sprawdzić segmenty. Dekodowanie jedynie odwraca krok base64url — weryfikacja podpisu nadal wymaga tajnego klucza.

Dlaczego mój klucz jest odrzucany jako zbyt krótki?

RFC 7518 zaleca klucz o długości co najmniej wyjściowej skrótu: 256 bitów dla HS256. Samo narzędzie nie wymusza minimum, ale poprawnie działający weryfikator może odrzucać krótkie klucze. W rzeczywistym użyciu stosuj losowo wygenerowany klucz o długości 32+ bajtów.

Czy to narzędzie obsługuje RS256, ES256 lub EdDSA?

Jeszcze nie — to narzędzie skupia się na algorytmach opartych na HMAC, ponieważ wymagają one jedynie współdzielonego ciągu znaków. Algorytmy asymetryczne (RS*, PS*, ES*, EdDSA) wymagają par kluczy i obsługi formatu PEM, co lepiej nadaje się do dedykowanych narzędzi.

Czy mój tajny klucz i ładunek są wysyłane do serwera?

Formularz jest przesyłany przez HTTPS w celu obliczenia podpisu. Nic nie jest logowane ani przechowywane poza czasem trwania żądania. Mimo to nie wpisuj tutaj kluczy produkcyjnych — traktuj to jako publiczne środowisko testowe.

Dodatkowe zasoby

• RFC 7519 - JSON Web Token (JWT)
• RFC 7515 - JSON Web Signature (JWS)
• RFC 7518 - JSON Web Algorithms (JWA)
• JSON Web Token - Wikipedia