Was ist der Unterschied zwischen HS256 und RS256?

HS256 (symmetrisch) verwendet denselben Schlüssel zum Signieren und Verifizieren. RS256 (asymmetrisch) verwendet einen privaten Schlüssel zum Signieren und einen öffentlichen zum Verifizieren. RS256 ist besser für verteilte Systeme.

Wie lang sollte das JWT-Secret sein?

Für HS256: mindestens 256 Bit (32 Bytes). Für HS384: 384 Bit. Für HS512: 512 Bit. Verwenden Sie kryptografisch zufällige Schlüssel. Ein kurzes Secret ermöglicht Brute-Force-Angriffe auf das Token.

Sollte ich JWTs in localStorage oder Cookies speichern?

JWTs sind standardmäßig zustandslos — einmal ausgestellt, können sie nicht widerrufen werden bis zum Ablauf. Strategien: kurze Ablaufzeiten, Token-Blacklist (serverseitig), Token-Versioning. Für sofortigen Widerruf betrachten Sie Session-basierte Authentifizierung.

Welche Claims sollte ein JWT enthalten?

Standard-Claims: sub (Subjekt/Benutzer-ID), iat (Ausstellungszeitpunkt), exp (Ablaufzeit), iss (Aussteller), aud (Zielgruppe). Benutzerdefiniert: role, permissions, scope. Vermeiden Sie sensible Daten — JWTs sind nur signiert, nicht verschlüsselt.

Wie setze ich die richtige Ablaufzeit?

Access Tokens: 15 Minuten bis 1 Stunde. Refresh Tokens: 7-30 Tage. Service Tokens: je nach Sicherheitsanforderung. Kürzere Zeiten sind sicherer, erfordern aber häufigere Erneuerung. Balancieren Sie Sicherheit und Benutzerfreundlichkeit.

Wie verwende ich dieses Tool in Claude/Cursor?

Sie können dieses Tool über MCP verwenden. Fügen Sie den Toolypet MCP-Server mit 'npx -y @toolypet/mcp-server@latest' zu Ihrer KI-Agent-Konfiguration hinzu. Bitten Sie dann Ihre KI, mcp__toolypet__jwt_generator mit Ihren Parametern zu verwenden.

Was ist MCP und warum unterstützt Toolypet es?

MCP (Model Context Protocol) ist ein offener Standard, der KI-Agenten wie Claude und Cursor die Nutzung externer Tools ermöglicht. Toolypet unterstützt MCP, damit Sie alle 65+ Tools sowohl im Browser als auch über KI-Agenten nutzen können, wodurch Berechnungen und Operationen nahtlos in Ihren KI-Workflow integriert werden.

JWT-Generator | Toolypet

Kostenloser Online-JWT-Generator. JSON Web Tokens mit benutzerdefinierten Claims erstellen und signieren. Als MCP verfugbar.

Was ist das?

Der JWT Generator erstellt JSON Web Token mit benutzerdefinierten Claims und Algorithmen. Für API-Authentifizierung und Autorisierung.

Eingabe

Payload (JSON)Benutzerdefinierte Claims als JSON-Objekt eingeben

Geheimer Schlüssel

Für HMAC-Algorithmen. Starkes, zufälliges Geheimnis verwenden.

SignaturalgorithmusHS256 wird für die meisten Anwendungsfälle empfohlen

Token-Ablaufzeit

Aussteller (iss)(Wahlweise)

Zielgruppe (aud)(Wahlweise)

Vorschau

Claims konfigurieren und Generieren klicken

Anleitung

Konfigurieren Sie Header, Payload und Signatur. Generieren Sie das JWT-Token.

Vertiefung

JWT-Claim-Design-Muster und Token-Lebenszyklusverwaltung: Standard-Claims (RFC 7519): sub (Subjekt/Benutzer-ID), iat (Ausstellungszeitpunkt), exp (Ablauf), nbf (nicht gültig vor), iss (Aussteller), aud (Zielgruppe), jti (eindeutige Token-ID). Token-Lebenszyklus: Access Token (15 min - 1h) für API-Zugriff. Refresh Token (7-30 Tage) für Token-Erneuerung. ID Token (OpenID Connect) für Benutzeridentität. Sicherheitsmuster: Token-Versionierung (Widerruf durch Versionsänderung). Token-Binding (Token an Client-Fingerprint binden). Proof-of-Possession (DPoP — Demonstrating Proof-of-Possession). Häufige Fehler: „none"-Algorithmus nicht deaktiviert (ermöglicht nicht-signierte Token). Signatur nicht serverseitig überprüft. Sensible Daten im Payload (Passwörter, Kreditkartennummern). Zu lange Ablaufzeiten. Token im localStorage (XSS-anfällig).

Beispiele

Generieren Sie ein JWT mit Standard-Claims (sub, iat, exp) und HS256-Signatur
Erstellen Sie ein JWT mit benutzerdefinierten Claims für rollenbasierte Zugriffskontrolle
Generieren Sie ein API-Token mit spezifischer Zielgruppe und Geltungsbereich
Erstellen Sie ein kurzlebiges JWT für die Dienst-zu-Dienst-Kommunikation
Demonstrieren Sie JWT-Erstellung mit verschiedenen Algorithmen (HS256, RS256)

Toolypet MCP-Server installieren

Fügen Sie Toolypet-Tools mit einem einzigen Befehl zu Ihrem KI-Agenten hinzu. Funktioniert mit Claude Desktop, Claude Code, Cursor und jedem MCP-kompatiblen Client.

Schnellstart

npx -y @toolypet/mcp-server@latest

MCP-Client-Konfiguration

{
  "mcpServers": {
    "toolypet": {
      "command": "npx",
      "args": [
        "-y",
        "@toolypet/mcp-server@latest"
      ]
    }
  }
}

Tool-Name:mcp__toolypet__jwt_generator

Beispiel-Prompt

Generate a JWT token with payload {sub: '123', role: 'admin'} using HS256

Eingabebeispiel

{
  "algorithm": "HS256",
  "secret": "my-secret-key",
  "payload": {
    "sub": "123",
    "role": "admin"
  },
  "expiresIn": "1h"
}

Ausgabebeispiel

{
  "token": "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMiLCJyb2xlIjoiYWRtaW4ifQ.abc123",
  "header": {
    "alg": "HS256",
    "typ": "JWT"
  },
  "payload": {
    "sub": "123",
    "role": "admin",
    "exp": 1700003600
  }
}

Häufig gestellte Fragen

Was ist der Unterschied zwischen HS256 und RS256?: HS256 (symmetrisch) verwendet denselben Schlüssel zum Signieren und Verifizieren. RS256 (asymmetrisch) verwendet einen privaten Schlüssel zum Signieren und einen öffentlichen zum Verifizieren. RS256 ist besser für verteilte Systeme.
Wie lang sollte das JWT-Secret sein?: Für HS256: mindestens 256 Bit (32 Bytes). Für HS384: 384 Bit. Für HS512: 512 Bit. Verwenden Sie kryptografisch zufällige Schlüssel. Ein kurzes Secret ermöglicht Brute-Force-Angriffe auf das Token.
Sollte ich JWTs in localStorage oder Cookies speichern?: JWTs sind standardmäßig zustandslos — einmal ausgestellt, können sie nicht widerrufen werden bis zum Ablauf. Strategien: kurze Ablaufzeiten, Token-Blacklist (serverseitig), Token-Versioning. Für sofortigen Widerruf betrachten Sie Session-basierte Authentifizierung.
Welche Claims sollte ein JWT enthalten?: Standard-Claims: sub (Subjekt/Benutzer-ID), iat (Ausstellungszeitpunkt), exp (Ablaufzeit), iss (Aussteller), aud (Zielgruppe). Benutzerdefiniert: role, permissions, scope. Vermeiden Sie sensible Daten — JWTs sind nur signiert, nicht verschlüsselt.
Wie setze ich die richtige Ablaufzeit?: Access Tokens: 15 Minuten bis 1 Stunde. Refresh Tokens: 7-30 Tage. Service Tokens: je nach Sicherheitsanforderung. Kürzere Zeiten sind sicherer, erfordern aber häufigere Erneuerung. Balancieren Sie Sicherheit und Benutzerfreundlichkeit.
Wie verwende ich dieses Tool in Claude/Cursor?: Sie können dieses Tool über MCP verwenden. Fügen Sie den Toolypet MCP-Server mit 'npx -y @toolypet/mcp-server@latest' zu Ihrer KI-Agent-Konfiguration hinzu. Bitten Sie dann Ihre KI, mcp__toolypet__jwt_generator mit Ihren Parametern zu verwenden.
Was ist MCP und warum unterstützt Toolypet es?: MCP (Model Context Protocol) ist ein offener Standard, der KI-Agenten wie Claude und Cursor die Nutzung externer Tools ermöglicht. Toolypet unterstützt MCP, damit Sie alle 65+ Tools sowohl im Browser als auch über KI-Agenten nutzen können, wodurch Berechnungen und Operationen nahtlos in Ihren KI-Workflow integriert werden.