Générateur de Secrets JWT
Générez un secret de signature fort et aléatoire pour vos JSON Web Tokens, dimensionné pour HS256 et prêt pour votre configuration de backend.
Le secret est généré localement avec la Web Crypto API et ne passe jamais par nos serveurs.
Aucune valeur pour l'instant. Appuyez sur Régénérer.
Ceci est une estimation fondée sur la génération aléatoire, pas sur le fait qu'un mot de passe ayant fuité ait été réutilisé.
Généré localement dans votre navigateur. Rien n'est envoyé à nos serveurs, journalisé ni stocké.
Pourquoi les secrets JWT comptent
Un JWT signé avec HMAC (HS256, HS384, HS512) n'est aussi sûr que son secret de signature. Le même secret signe et vérifie chaque jeton, donc une valeur faible ou devinable permet à quiconque de forger des jetons et d'usurper des utilisateurs.
Utilisez un secret long et entièrement aléatoire, jamais un mot du dictionnaire ni un mot de passe réutilisé. Gardez-le sur le serveur, hors du contrôle de version, et changez-le s'il est exposé.
Bonnes pratiques
- Pour HS256, utilisez au moins 32 octets (256 bits) ; 64 octets est un choix confortable.
- Stockez le secret dans une variable d'environnement ou un gestionnaire de secrets, jamais dans le client.
- Changez le secret en cas de suspicion d'exposition et invalidez les jetons signés avec l'ancien.
Plus de générateurs de secrets
Chaque générateur ci-dessous est le même outil local, propulsé par Web Crypto, préréglé pour un usage différent. Rien de ce que vous générez ne quitte votre navigateur.
- Générateur de Mots de Passe SécurisésMots de passe, secrets, jetons et PIN au même endroit.
- Générateur OpenSSL RandSecrets base64 et hex façon openssl rand.
- Générateur de Clés d'APIClés opaques et à forte entropie pour API.
- Générateur de Jetons AléatoiresJetons de session, de réinitialisation et de vérification.
- Générateur de Phrases de PassePhrases de passe mémorables de plusieurs mots.
- Générateur de PINCodes PIN numériques rapides.
Questions fréquentes
Quelle longueur pour un secret JWT ?
Pour HS256, au moins 32 octets (256 bits), à la taille de la sortie SHA-256. De 32 à 64 octets aléatoires est la plage courante. Au-delà de la taille du hachage, le gain est faible.
Puis-je utiliser un mot de passe comme secret JWT ?
Vous ne devriez pas. Les mots de passe ont une faible entropie et sont devinables. Utilisez un secret entièrement aléatoire d'un CSPRNG, ce que produit ce générateur.
base64url ou hex pour le secret ?
Les deux conviennent tant que le nombre d'octets est correct. Cet outil utilise base64url par défaut pour les secrets JWT, compact et sûr pour la configuration et les en-têtes.
Où stocker le secret JWT ?
Dans une variable d'environnement ou un gestionnaire de secrets sur le serveur. Ne le committez jamais dans un dépôt et ne l'exposez pas au navigateur.