Generador de JWT Secrets
Genera secretos de firma HMAC que cumplen los requisitos mínimos de tamaño de RFC 7518. Elige algoritmo, codificación y copia el resultado. 100% en tu navegador.
¿SABÍAS QUE?
En 2022, Auth0 reveló que claves JWT cortas permitían a atacantes hacer fuerza bruta y forjar tokens. RFC 7518 requiere que las claves HS256 tengan al menos 256 bits (32 bytes), HS384 al menos 384 bits y HS512 al menos 512 bits. Usar una clave más corta es técnicamente válido pero criptográficamente débil.
Secretos de firma JWT explicados
¿Qué es un secreto de firma JWT?
Un secreto de firma JWT es la clave usada para crear y verificar la firma de JSON Web Tokens. Para algoritmos HMAC (HS256, HS384, HS512), es una clave simétrica — el mismo secreto firma y verifica. El secreto debe ser lo suficientemente largo para igualar la salida del algoritmo hash (32 bytes para HS256, 48 para HS384, 64 para HS512). Si tu secreto es muy corto, un atacante puede hacer fuerza bruta y forjar tokens válidos.
HMAC (HS) vs RSA (RS) vs ECDSA (ES)
HMAC es simétrico: un secreto compartido para firmar y verificar. Es más simple, rápido e ideal para arquitecturas de un solo servicio. RSA (RS256) usa pares de claves asimétricos — una clave privada firma, una pública verifica. Mejor para microservicios donde varios servicios verifican tokens pero solo uno debe firmarlos. ECDSA (ES256) ofrece las mismas ventajas que RSA con claves más pequeñas. Elige según tu arquitectura, no por seguridad percibida.
Errores comunes con secretos JWT
Usar un secreto corto o adivinable (como 'secret' o el nombre de tu app) es el error #1. Otros: compartir el mismo secreto entre entornos (dev/staging/prod), no rotar secrets cuando un miembro del equipo se va, incrustar secrets en código fuente, y usar el algoritmo 'none' en producción. Siempre genera una clave aleatoria de entropía completa y guárdala en un vault.
Más herramientas de seguridad para developers
Preguntas frecuentes sobre JWT secrets
RFC 7518 especifica tamaños mínimos: HS256 requiere al menos 32 bytes (256 bits), HS384 requiere 48 bytes (384 bits) y HS512 requiere 64 bytes (512 bits). Este generador crea claves que cumplen exactamente estos requisitos. Usar claves más cortas es posible pero reduce la seguridad.
Usa HS256 (HMAC) cuando un solo servicio firma y verifica tokens — es más simple y rápido. Usa RS256 (RSA) cuando múltiples servicios verifican tokens pero solo uno debe crearlos, porque puedes compartir la clave pública libremente. Para la mayoría de apps web con un solo backend, HS256 es la opción correcta.
No. Usa secretos diferentes para development, staging y producción. Si tu secreto de dev se filtra (ej: commiteado a git), no debería comprometer producción. Genera un secreto único por entorno y guarda cada uno en tu vault.
Rota cada 90 días como mínimo, e inmediatamente si sospechas un compromiso. Implementa una estrategia con validez superpuesta: acepta ambos secretos durante una ventana de transición, luego depreca el antiguo. SecureCodeHQ soporta esto con TTL y secrets versionados.
Guarda tus secretos de firma JWT en SecureCodeHQ en vez de archivos .env. Accede desde tu app vía SDK (loadEnv o getSecret), y desde Claude Code vía MCP. Cada acceso queda registrado, los secrets se cifran con AES-256-GCM y puedes configurar recordatorios de rotación con TTL.
¿Generaste un secreto JWT? Guárdalo bien.
SecureCodeHQ cifra tus secretos JWT y proporciona acceso vía MCP, SDK y CLI. Nunca más commitees claves de firma a git.