ما موقّع JWT؟
ينشئ موقّع JWT رمز JSON Web Token مضغوطًا عبر تسلسل الترويسة والحمولة، ثم توقيعهما بسر أو مفتاح خاص. تكون النتيجة رمزًا من ثلاثة أجزاء header.payload.signature تستخدمه العديد من أنظمة API وOAuth والجلسات.
متى تستخدم هذه الأداة
- أنشئ رموز اختبار محلية لتطوير API وبيئات staging والعروض التوضيحية.
- قارن كيف تغيّر الخوارزميات المختلفة ترويسة الرمز وتوقيعه.
- أضف مطالبات مثل
subأوissأوaudأوexpأوiatأوscopeأو حقول تطبيق مخصصة من دون كتابة سكربت مؤقت. - أنشئ رموزًا باستخدام أسرار HMAC المشتركة أو باستخدام مفاتيح RSA/ECDSA الخاصة بصيغة PKCS#8 PEM أو JWK.
ما الذي يجب التحقق منه قبل استخدام رمز موقّع
- طابق الخوارزمية مع نوع المفتاح: يستخدم
HS*سرًا مشتركًا، وتستخدمRS*وPS*مفاتيح RSA خاصة، ويستخدمES*مفاتيح EC خاصة. - أضف مطالبات انتهاء الصلاحية والجمهور عندما تتوقعها الخدمة المستقبلة.
- أبقِ مفاتيح الإنتاج الخاصة بعيدًا عن المتصفحات والأجهزة المشتركة. تعمل هذه الأداة محليًا، لكنها لا تستطيع حماية المفاتيح من جهاز مخترق مسبقًا.
- تذكّر أن التوقيع ليس تشفيرًا. يمكن لأي شخص يتلقى الرمز فك ترميز الترويسة والحمولة.