Generador de Secretos JWT
Genera un secreto de firma fuerte y aleatorio para tus JSON Web Tokens, dimensionado para HS256 y listo para tu configuración de backend.
El secreto se genera localmente con la Web Crypto API y nunca pasa por nuestros servidores.
Aún no hay valor. Pulsa Regenerar.
Es una estimación basada en la generación aleatoria, no en si una contraseña filtrada se ha reutilizado.
Generado localmente en tu navegador. No se envía nada a nuestros servidores, no se registra ni se almacena.
Por qué importan los secretos JWT
Un JWT firmado con HMAC (HS256, HS384, HS512) es tan seguro como su secreto de firma. El mismo secreto firma y verifica cada token, así que un valor débil o adivinable permite a cualquiera falsificar tokens y suplantar usuarios.
Usa un secreto largo y totalmente aleatorio, nunca una palabra de diccionario ni una contraseña reutilizada. Mantenlo en el servidor, fuera del control de versiones, y rótalo si se expone.
Buenas prácticas
- Para HS256 usa al menos 32 bytes (256 bits); 64 bytes es una opción cómoda.
- Guarda el secreto en una variable de entorno o gestor de secretos, nunca en el cliente.
- Rota el secreto ante una sospecha de exposición e invalida los tokens firmados con el anterior.
Más generadores de secretos
Cada generador de abajo es la misma herramienta local, basada en Web Crypto, configurada para otra tarea. Nada de lo que generes sale de tu navegador.
- Generador de Contraseñas SegurasContraseñas, secretos, tokens y PIN en un solo sitio.
- Generador OpenSSL RandSecretos base64 y hex al estilo openssl rand.
- Generador de Claves de APIClaves opacas y de alta entropía para API.
- Generador de Tokens AleatoriosTokens de sesión, restablecimiento y verificación.
- Generador de Frases de PasoFrases de paso de varias palabras memorables.
- Generador de PINCódigos PIN numéricos rápidos.
Preguntas frecuentes
¿Cuánto debe medir un secreto JWT?
Para HS256, al menos 32 bytes (256 bits), igual que la salida de SHA-256. De 32 a 64 bytes aleatorios es el rango común. Más allá del tamaño del hash aporta poco.
¿Puedo usar una contraseña como secreto JWT?
No deberías. Las contraseñas tienen baja entropía y son adivinables. Usa un secreto totalmente aleatorio de un CSPRNG, que es lo que produce este generador.
¿base64url o hex para el secreto?
Cualquiera vale si el número de bytes es correcto. Esta herramienta usa base64url por defecto para los secretos JWT, compacto y seguro para configuración y cabeceras.
¿Dónde debo guardar el secreto JWT?
En una variable de entorno o un gestor de secretos en el servidor. Nunca lo subas a un repositorio ni lo expongas al navegador.