Narzędzie do podpisywania JSON Web Token (JWT)

Podpisuj JWT lokalnie za pomocą sekretów HMAC albo kluczy prywatnych PEM/JWK do testowania API i debugowania uwierzytelniania.

Payload i nagłówek
Edytuj deklaracje JSON i opcjonalne pola chronionego nagłówka, które zostaną objęte podpisem w tokenie.
Pomocniki zarejestrowanych deklaracji

Użyj tych kontrolek, aby zaktualizować typowe deklaracje NumericDate w payloadzie JSON.

Pokazuje bieżącą wartość podpisywania i zapisuje ją w payload.iat dopiero podczas podpisywania.

Wartość w payloadzie: 1713139200Wartość podpisywania: 1713139200

Ręczne wprowadzenie ustawia stałe exp. Szybkie przesunięcia podążają za podpisywanym iat i są finalizowane podczas podpisywania.

Wartość w payloadzie: Nie ustawionoWartość podpisywania: Nie ustawiono

Wybrany algorytm jest zawsze zapisywany w nagłówku. Użyj tego pola dla wartości takich jak kid lub do nadpisania pola typ.

Klucz podpisywania
Wybierz algorytm, podaj pasujący sekret lub klucz prywatny, a następnie wygeneruj kompaktowy JWT.

Algorytmy HMAC używają wspólnego sekretu.

Używany dla HS256, HS384 i HS512. Sekret nie jest zapisywany w pamięci lokalnej.

Podpisany token
Skopiuj kompaktowy JWT albo sprawdź dokładne segmenty nagłówka, payloadu i podpisu.
Nie podpisano jeszcze tokenu
Dodaj prawidłowy payload JSON i klucz podpisywania, a następnie podpisz, aby utworzyć kompaktowy JWT.
Pobierz

Czym jest narzędzie do podpisywania JWT?

Narzędzie do podpisywania JWT tworzy kompaktowy JSON Web Token przez serializację nagłówka i payloadu, a następnie podpisanie ich sekretem lub kluczem prywatnym. Wynikiem jest trzyczęściowy token header.payload.signature używany przez wiele systemów API, OAuth i sesji.

Kiedy używać tego narzędzia

  • Twórz lokalne tokeny testowe do pracy nad API, środowisk stagingowych i demo.
  • Porównuj, jak różne algorytmy zmieniają nagłówek i podpis tokenu.
  • Dodawaj deklaracje takie jak sub, iss, aud, exp, iat, scope albo niestandardowe pola aplikacji bez pisania jednorazowego skryptu.
  • Generuj tokeny ze wspólnymi sekretami HMAC albo z kluczami prywatnymi RSA/ECDSA w formacie PKCS#8 PEM lub JWK.

Co sprawdzić przed użyciem podpisanego tokenu

  • Dopasuj algorytm do typu klucza: HS* używa wspólnego sekretu, RS* i PS* używają kluczy prywatnych RSA, a ES* używa kluczy prywatnych EC.
  • Dodaj deklaracje wygaśnięcia i odbiorców, gdy usługa odbierająca ich oczekuje.
  • Nie używaj produkcyjnych kluczy prywatnych we współdzielonych przeglądarkach i komputerach. To narzędzie działa lokalnie, ale nie może chronić kluczy przed urządzeniem, które zostało już przejęte.
  • Pamiętaj, że podpisywanie nie jest szyfrowaniem. Każdy, kto otrzyma token, może zdekodować nagłówek i payload.