JSON Web Token (JWT)-signeringsverktøy

Signer JWT-er lokalt med HMAC-hemmeligheter eller private PEM/JWK-nøkler for API-testing og feilsøking av autentisering.

Payload og header
Rediger JSON-claims og valgfrie beskyttede headerfelt som skal signeres inn i tokenet.
Hjelpere for registrerte claims

Bruk disse kontrollene til å oppdatere vanlige NumericDate-claims i payload-JSON-en.

Viser en levende signeringsverdi og skriver den til payload.iat bare når du signerer.

Payload-verdi: 1713139200Signeringsverdi: 1713139200

Manuell inndata setter en fast exp. Hurtigforskyvninger følger signerings-iat og fullføres når du signerer.

Payload-verdi: Ikke sattSigneringsverdi: Ikke satt

Den valgte algoritmen skrives alltid inn i headeren. Bruk dette feltet for verdier som kid eller typ-overstyringer.

Signeringsnøkkel
Velg en algoritme, oppgi den tilsvarende hemmeligheten eller private nøkkelen, og generer deretter en kompakt JWT.

HMAC-algoritmer bruker en delt hemmelighet.

Brukes for HS256, HS384 og HS512. Hemmeligheten lagres ikke i lokal lagring.

Signert token
Kopier den kompakte JWT-en eller inspiser de eksakte header-, payload- og signatursegmentene.
Ingen token signert ennå
Legg til en gyldig JSON-payload og signeringsnøkkel, og signer deretter for å opprette en kompakt JWT.
Last ned

Hva er et JWT-signeringsverktøy?

Et JWT-signeringsverktøy oppretter et kompakt JSON Web Token ved å serialisere en header og payload, og deretter signere dem med en hemmelighet eller privat nøkkel. Resultatet er tokenet i tre deler header.payload.signature som brukes av mange API-, OAuth- og sesjonssystemer.

Når du bør bruke dette verktøyet

  • Opprett lokale testtoken for API-utvikling, stagingmiljøer og demoer.
  • Sammenlign hvordan ulike algoritmer endrer token-headeren og signaturen.
  • Legg til claims som sub, iss, aud, exp, iat, scope eller egendefinerte applikasjonsfelt uten å skrive et engangsskript.
  • Generer token med delte HMAC-hemmeligheter eller med private RSA/ECDSA-nøkler i PKCS#8 PEM- eller JWK-format.

Hva du bør sjekke før du bruker et signert token

  • Sørg for at algoritmen passer med nøkkeltypen: HS* bruker en delt hemmelighet, RS* og PS* bruker private RSA-nøkler, og ES* bruker private EC-nøkler.
  • Legg til utløps- og audience-claims når mottakertjenesten forventer dem.
  • Hold private produksjonsnøkler unna delte nettlesere og maskiner. Dette verktøyet kjører lokalt, men det kan ikke beskytte nøkler mot en enhet som allerede er kompromittert.
  • Husk at signering ikke er kryptering. Alle som mottar tokenet, kan dekode headeren og payloaden.