Firma un JWT con HS256 (HMAC-SHA256) a partire da un payload JSON e un segreto condiviso. Lo strumento emette un token completo in tre parti (header.payload.signature) compatibile con le librerie JWT standard e con lo strumento di decodifica di questo sito.
Come funziona la firma HS256
- L’JSON di header (
alg: HS256,typ: JWT) viene codificato in Base64URL. - L’JSON di payload (i tuoi claim) viene codificato in Base64URL.
- HMAC-SHA256 viene calcolato su
header.payloadcon il tuo segreto, poi codificato in Base64URL come firma.
Casi d’uso comuni
- Prototipare flussi di autenticazione prima di collegare un issuer backend
- Generare token di test per API gateway o playground GraphQL
- Fare round-trip con il decoder JWT per ispezionare header e claim
Limitazioni
HS256 usa un segreto simmetrico—chiunque lo conosca può falsificare token. La firma asimmetrica RS256/ES256 non è supportata qui. Il payload deve essere JSON valido. Non usare mai segreti di produzione in strumenti del browser.
Esempio
Il payload {"sub":"123"} con il segreto secret produce un JWT a tre segmenti decodificabile dalle librerie standard.