🔏

JWT Builder & Sign (HS256, Web Crypto)

Build & sign JWT token với HMAC-SHA256 (HS256) qua Web Crypto API. Quick claim helpers (iat, exp). Cho test/dev API auth — chạy 100% trong browser.

Tất cả công cụ

Header (JSON)

Payload (claims) (JSON)

Claim phổ biến:

Secret key (HS256)

Tip: dùng exp: 1780502665 để token hết hạn sau 1h.

JWT Token

JWT Builder ký token với HMAC-SHA256 (HS256) qua Web Crypto API. Chạy 100% trong browser, secret KHÔNG gửi đi đâu. Chỉ dùng cho test/dev — production cần proper signing trên server.

Khi nào cần build JWT?

Test API auth: cần valid token để test endpoint protected — sinh token rồi paste vào Postman/curl.
Mock auth response: frontend dev không phải đợi backend implement /login — fake JWT response.
Học JWT: thử nghiệm các claim, signature — hiểu cách auth hoạt động.
Debug expired token: regenerate token mới với exp lớn hơn.

Cấu trúc JWT

<header>.<payload>.<signature>

Header:    base64url(JSON header)        # alg, typ
Payload:   base64url(JSON claims)         # sub, exp, iat, custom...
Signature: base64url(HMAC-SHA256(
  header + "." + payload, secret
))

Standard claims (RFC 7519)

iss (issuer): ai phát hành token.
sub (subject): user_id token này về.
aud (audience): token cho service nào.
exp (expiration time): timestamp Unix khi token hết hạn.
nbf (not before): timestamp Unix sớm nhất token có hiệu lực.
iat (issued at): timestamp Unix khi tạo token.
jti (JWT ID): unique ID — chống replay attack.

⚠️ Cảnh báo bảo mật

HS256 vs RS256: HS256 dùng symmetric secret — server phát hành & verify dùng cùng key. RS256 dùng asymmetric (private/public) — secure hơn cho microservice. Tool này chỉ HS256.
Secret yếu: tránh secret ngắn (< 32 byte). Production phải dùng random 256-bit secret từ crypto.randomBytes(32).
KHÔNG lưu sensitive data trong payload: payload chỉ base64-encoded (KHÔNG mã hoá) — ai cũng đọc được. Đừng để password, full credit card.
Production phải sign server-side: tool này chạy browser → secret leak nếu paste production secret. Chỉ dùng cho test/dev.