Penandatangan JSON Web Token (JWT)

Tandatangani JWT secara lokal dengan secret HMAC atau kunci privat PEM/JWK untuk pengujian API dan debugging autentikasi.

Payload dan header
Edit klaim JSON dan kolom protected header opsional yang akan ditandatangani ke dalam token.
Pembantu klaim terdaftar

Gunakan kontrol ini untuk memperbarui klaim NumericDate umum dalam payload JSON.

Menampilkan nilai penandatanganan langsung dan menuliskannya ke payload.iat hanya saat Anda menandatangani.

Nilai payload: 1713139200Nilai penandatanganan: 1713139200

Input manual menetapkan exp tetap. Offset cepat mengikuti iat penandatanganan dan difinalisasi saat Anda menandatangani.

Nilai payload: Belum diaturNilai penandatanganan: Belum diatur

Algoritme yang dipilih selalu ditulis ke header. Gunakan kolom ini untuk nilai seperti penggantian kid atau typ.

Kunci penandatanganan
Pilih algoritme, berikan secret atau kunci privat yang sesuai, lalu buat JWT ringkas.

Algoritme HMAC menggunakan secret bersama.

Digunakan untuk HS256, HS384, dan HS512. Secret tidak disimpan ke penyimpanan lokal.

Token yang ditandatangani
Salin JWT ringkas atau periksa segmen header, payload, dan signature yang tepat.
Belum ada token yang ditandatangani
Tambahkan payload JSON yang valid dan kunci penandatanganan, lalu tandatangani untuk membuat JWT ringkas.
Unduh

Apa itu penandatangan JWT?

Penandatangan JWT membuat JSON Web Token compact dengan menserialisasi header dan payload, lalu menandatanganinya dengan secret atau kunci privat. Hasilnya adalah token tiga bagian header.payload.signature yang digunakan oleh banyak sistem API, OAuth, dan sesi.

Kapan menggunakan alat ini

  • Buat token uji lokal untuk pengembangan API, lingkungan staging, dan demo.
  • Bandingkan bagaimana algoritme yang berbeda mengubah header dan signature token.
  • Tambahkan klaim seperti sub, iss, aud, exp, iat, scope, atau field aplikasi kustom tanpa menulis skrip sementara.
  • Buat token dengan secret bersama HMAC atau dengan kunci privat RSA/ECDSA dalam bentuk PKCS#8 PEM atau JWK.

Apa yang perlu diperiksa sebelum menggunakan token yang ditandatangani

  • Cocokkan algoritme dengan jenis kunci: HS* menggunakan secret bersama, RS* dan PS* menggunakan kunci privat RSA, dan ES* menggunakan kunci privat EC.
  • Tambahkan klaim kedaluwarsa dan audience saat layanan penerima mengharapkannya.
  • Jauhkan kunci privat produksi dari browser dan mesin bersama. Alat ini berjalan secara lokal, tetapi tidak dapat melindungi kunci dari perangkat yang sudah disusupi.
  • Ingat bahwa penandatanganan bukan enkripsi. Siapa pun yang menerima token dapat mendekode header dan payload.