JWT-Signer
Signieren Sie JWTs mit HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512 oder PS256/PS384/PS512.
Was ist ein JWT?
Ein JSON Web Token (JWT) ist ein kompakter, URL-sicherer Weg, Claims zwischen zwei Parteien zu übertragen. Es besteht aus drei durch Punkte verbundenen Base64URL-codierten Teilen: einem Header, der den Algorithmus benennt, einem Payload mit beliebigen JSON-Claims und einer Signatur, die über header.payload mit einem Schlüssel berechnet wird. Der Empfänger berechnet die Signatur erneut und weist das Token zurück, falls sie nicht übereinstimmt. JWTs sind bei zustandsloser Authentifizierung beliebt, weil Server sich keine Sitzungen merken müssen — jede Anfrage trägt ihren eigenen Nachweis. Die Kehrseite ist, dass ein einmal ausgegebenes Token ohne zusätzliche Sperrliste nicht widerrufen werden kann und jedes geleakte Geheimnis oder jeder kompromittierte Schlüssel sämtliche damit signierten Tokens kompromittiert. Dieses Tool läuft vollständig auf deinem Gerät — deine Geheimnisse, Signaturschlüssel und Tokens verlassen die Seite nicht, gehen nicht zu unseren Servern und werden nicht gespeichert, indexiert, geloggt oder weitergegeben. Diese Datenschutzgarantie ist wichtig, denn ein einziger Tastenanschlag-Leak eines JWT-Signaturgeheimnisses kann jedes Nutzerkonto kompromittieren, für das es Tokens ausstellt.
So nutzt du den Signer/Verifier
Wähle den Algorithmus, der zu deiner Umgebung passt, füge Header und Payload ein (oder nutze die Vorgaben als Vorlage) und klicke dann auf Signieren. Für RS256 und ES256 kannst du direkt auf der Seite ein neues Schlüsselpaar erzeugen; für HS256 lieferst du ein gemeinsames Geheimnis. Zum Verifizieren wechselst du in den Verifikationsmodus, fügst Token und passendes Geheimnis bzw. öffentlichen Schlüssel ein und klickst auf Verifizieren. Bei Erfolg erscheint der dekodierte Payload im Ergebnisfeld.
Praktische Tipps und Fallstricke
Setze für Produktions-Tokens immer exp (Ablaufzeit). Akzeptiere niemals den im Header angegebenen Algorithmus ohne Allowlist — der klassische alg=none-Angriff nutzt aus, dass Server dem Header vertrauen. Rotiere Signaturschlüssel regelmäßig, bewahre private Schlüssel in einem HSM oder Secrets-Manager auf und behandle HMAC-Geheimnisse wie Passwörter. Für Browser- und Mobil-Apps sind kurzlebige JWTs zusammen mit Refresh-Tokens in HttpOnly-Cookies die bessere Wahl.
Unterstützte Algorithmen
| Alg | Familie | Anwendungsfall |
|---|---|---|
HS256 | HMAC + SHA-256 | Interne Dienste, die ein einzelnes Geheimnis teilen. Schnell, einfach. |
HS384 | HMAC + SHA-384 | Interne Dienste, die ein einzelnes Geheimnis teilen. Schnell, einfach. |
HS512 | HMAC + SHA-512 | Interne Dienste, die ein einzelnes Geheimnis teilen. Schnell, einfach. |
RS256 | RSA + SHA-256 | Öffentliche APIs, die den öffentlichen Schlüssel zur Verifikation verteilen. |
ES256 | ECDSA P-256 + SHA-256 | Wie RS256, aber mit kürzeren Signaturen und modernen elliptischen Kurven. |
Häufig gestellte Fragen
Wird etwas an euren Server gesendet?
Was ist der Unterschied zwischen HS256 und RS256?
Kann ich das für Produktionsschlüssel verwenden?
Warum schlägt die Verifikation meines Tokens fehl?
exp) oder noch nicht gültiges (nbf) Token, manipulierter Payload oder ein Copy-Paste, das Leerzeichen eingefügt hat.