Generatore JWT

Cos'è un JWT?

Un JSON Web Token (JWT, RFC 7519) è un contenitore compatto e firmato per dati JSON. Ha tre parti codificate in Base64URL separate da punti: header (algoritmo), payload (claim) e firma. Si usa per l'autenticazione stateless di API (bearer token), OAuth/OpenID Connect e SSO.

Quale algoritmo?

HS256/384/512 sono algoritmi HMAC simmetrici: mittente e ricevente condividono lo stesso secret. Semplici e veloci, adatti ad API interne. Per API pubbliche preferire RS256 o ES256 (chiave pubblica/privata): supportati anch'essi dalla Web Crypto API ma con gestione chiavi più complessa. 'none' (non firmato) mai in produzione.

Note di sicurezza importanti

• Mai mettere dati segreti nel payload — i JWT sono firmati, non criptati
• Il secret deve essere lungo almeno quanto l'output hash (256/384/512 bit)
• Imposta sempre i claim exp/nbf e validali alla ricezione