מהו חותם JWT?
חותם JWT יוצר JSON Web Token קומפקטי על ידי סריאליזציה של כותרת ומטען, ואז חתימה עליהם באמצעות סוד או מפתח פרטי. התוצאה היא טוקן בן שלושה חלקים header.payload.signature, שמשמש מערכות API, OAuth וסשנים רבות.
מתי להשתמש בכלי הזה
- צרו טוקני בדיקה מקומיים לפיתוח API, לסביבות staging ולהדגמות.
- השוו איך אלגוריתמים שונים משנים את כותרת הטוקן ואת החתימה.
- הוסיפו claims כגון
sub,iss,aud,exp,iat,scope, או שדות יישום מותאמים בלי לכתוב סקריפט חד-פעמי. - צרו טוקנים עם סודות HMAC משותפים או עם מפתחות פרטיים RSA/ECDSA בפורמט PKCS#8 PEM או JWK.
מה לבדוק לפני שימוש בטוקן חתום
- התאימו את האלגוריתם לסוג המפתח:
HS*משתמש בסוד משותף,RS*ו-PS*משתמשים במפתחות פרטיים RSA, ו-ES*משתמש במפתחות פרטיים EC. - הוסיפו claims של תפוגה וקהל יעד כאשר השירות המקבל מצפה להם.
- שמרו מפתחות פרטיים של סביבת ייצור מחוץ לדפדפנים ולמחשבים משותפים. הכלי הזה פועל מקומית, אבל אינו יכול להגן על מפתחות מפני מכשיר שכבר נפרץ.
- זכרו שחתימה אינה הצפנה. כל מי שמקבל את הטוקן יכול לפענח את הכותרת והמטען.