חותם JSON Web Token (JWT)

חתמו על JWT באופן מקומי עם סודות HMAC או מפתחות פרטיים PEM/JWK לבדיקות API ולאיתור בעיות אימות.

מטען וכותרת
ערכו את ה-claims ב-JSON ואת שדות הכותרת המוגנים האופציונליים שייחתמו לתוך הטוקן.
עזרי claims רשומים

השתמשו בפקדים האלה כדי לעדכן claims נפוצים מסוג NumericDate ב-JSON של המטען.

מציג ערך חתימה חי וכותב אותו אל payload.iat רק בעת החתימה.

ערך במטען: 1713139200ערך חתימה: 1713139200

קלט ידני מגדיר exp קבוע. קיזוזים מהירים עוקבים אחרי iat של החתימה ומתקבעים בעת החתימה.

ערך במטען: לא מוגדרערך חתימה: לא מוגדר

האלגוריתם שנבחר נכתב תמיד לכותרת. השתמשו בשדה הזה לערכים כמו עקיפות kid או typ.

מפתח חתימה
בחרו אלגוריתם, ספקו את הסוד או המפתח הפרטי התואם, ואז צרו JWT קומפקטי.

אלגוריתמי HMAC משתמשים בסוד משותף.

משמש עבור HS256, HS384 ו-HS512. הסוד לא נשמר באחסון המקומי.

טוקן חתום
העתיקו את ה-JWT הקומפקטי או בדקו את מקטעי הכותרת, המטען והחתימה המדויקים.
עדיין אין טוקן חתום
הוסיפו מטען JSON תקין ומפתח חתימה, ואז חתמו כדי ליצור JWT קומפקטי.
הורדה

מהו חותם JWT?

חותם JWT יוצר JSON Web Token קומפקטי על ידי סריאליזציה של כותרת ומטען, ואז חתימה עליהם באמצעות סוד או מפתח פרטי. התוצאה היא טוקן בן שלושה חלקים header.payload.signature, שמשמש מערכות API, OAuth וסשנים רבות.

מתי להשתמש בכלי הזה

  • צרו טוקני בדיקה מקומיים לפיתוח API, לסביבות staging ולהדגמות.
  • השוו איך אלגוריתמים שונים משנים את כותרת הטוקן ואת החתימה.
  • הוסיפו claims כגון sub, iss, aud, exp, iat, scope, או שדות יישום מותאמים בלי לכתוב סקריפט חד-פעמי.
  • צרו טוקנים עם סודות HMAC משותפים או עם מפתחות פרטיים RSA/ECDSA בפורמט PKCS#8 PEM או JWK.

מה לבדוק לפני שימוש בטוקן חתום

  • התאימו את האלגוריתם לסוג המפתח: HS* משתמש בסוד משותף, RS* ו-PS* משתמשים במפתחות פרטיים RSA, ו-ES* משתמש במפתחות פרטיים EC.
  • הוסיפו claims של תפוגה וקהל יעד כאשר השירות המקבל מצפה להם.
  • שמרו מפתחות פרטיים של סביבת ייצור מחוץ לדפדפנים ולמחשבים משותפים. הכלי הזה פועל מקומית, אבל אינו יכול להגן על מפתחות מפני מכשיר שכבר נפרץ.
  • זכרו שחתימה אינה הצפנה. כל מי שמקבל את הטוקן יכול לפענח את הכותרת והמטען.