Signeur JWT
Construisez et signez des JSON Web Tokens avec HS256/HS384/HS512. Tout en local, sans envoi.
Qu'est-ce qu'un JWT ?
Un JSON Web Token (JWT) est un moyen compact et compatible avec les URL pour transporter des claims entre deux parties. Il se compose de trois parties encodées en Base64URL et reliées par des points : un en-tête qui nomme l'algorithme, une charge utile composée de claims JSON arbitraires, et une signature calculée sur header.payload avec une clé. Le destinataire recalcule la signature et rejette le jeton si elle ne correspond pas. Les JWT sont populaires pour l'authentification sans état, car les serveurs n'ont pas besoin de mémoriser les sessions — chaque requête transporte sa propre preuve. Le revers, c'est que vous ne pouvez pas révoquer un jeton une fois émis sans liste de révocation supplémentaire, et tout secret ou clé divulgué compromet tous les jetons signés avec lui. Cet outil fonctionne entièrement sur votre appareil — vos secrets, clés de signature et jetons ne quittent jamais la page, ne transitent jamais par nos serveurs, et ne sont ni stockés, ni indexés, ni journalisés, ni partagés. Cette garantie de confidentialité est essentielle, car la fuite d'une seule frappe d'un secret de signature JWT peut compromettre tous les comptes utilisateurs pour lesquels il émet des jetons.
Comment utiliser le signeur / vérificateur
Choisissez l'algorithme adapté à votre environnement, collez l'en-tête et la charge utile (ou utilisez les valeurs par défaut comme modèle), puis cliquez sur Signer. Pour RS256 et ES256, vous pouvez générer une nouvelle paire de clés sur la page ; pour HS256, vous fournissez un secret partagé. Pour vérifier, basculez en mode vérification, collez le jeton et le secret ou la clé publique correspondants, puis cliquez sur Vérifier. La charge utile décodée apparaît dans la zone de verdict en cas de succès.
Conseils pratiques et pièges à éviter
Définissez toujours exp (expiration) sur les jetons de production. N'acceptez jamais l'algorithme annoncé dans l'en-tête sans liste blanche — la classique attaque alg=none exploite les serveurs qui font confiance à l'en-tête. Faites tourner périodiquement les clés de signature, stockez les clés privées dans un HSM ou un gestionnaire de secrets, et traitez les secrets HMAC comme des mots de passe. Pour les navigateurs et les applications mobiles, privilégiez les JWT à courte durée de vie associés à des refresh tokens stockés dans des cookies HttpOnly.
Algorithmes pris en charge
| Alg | Famille | Cas d'usage |
|---|---|---|
HS256 | HMAC + SHA-256 | Services internes qui partagent un seul secret. Rapide, simple. |
HS384 | HMAC + SHA-384 | Services internes qui partagent un seul secret. Rapide, simple. |
HS512 | HMAC + SHA-512 | Services internes qui partagent un seul secret. Rapide, simple. |
RS256 | RSA + SHA-256 | API publiques distribuant la clé publique pour la vérification. |
ES256 | ECDSA P-256 + SHA-256 | Comme RS256, mais avec des signatures plus courtes et des courbes elliptiques modernes. |
Questions fréquentes
Quelque chose est-il envoyé à votre serveur ?
Quelle est la différence entre HS256 et RS256 ?
Puis-je l'utiliser pour des clés de production ?
Pourquoi mon jeton ne se vérifie-t-il pas ?
exp) ou pas encore valide (nbf), charge utile altérée, ou copier-coller ayant introduit des espaces.