Что такое инструмент подписи JWT?
Инструмент подписи JWT создает компактный JSON Web Token, сериализуя заголовок и полезную нагрузку, а затем подписывая их секретом или закрытым ключом. Результатом становится токен из трех частей header.payload.signature, который используется многими системами API, OAuth и сессий.
Когда использовать этот инструмент
- Создавайте локальные тестовые токены для разработки API, стейджинговых сред и демо.
- Сравнивайте, как разные алгоритмы меняют заголовок и подпись токена.
- Добавляйте утверждения, такие как
sub,iss,aud,exp,iat,scope, или пользовательские поля приложения, не создавая временный скрипт. - Генерируйте токены с общими секретами HMAC или закрытыми ключами RSA/ECDSA в формате PKCS#8 PEM или JWK.
Что проверить перед использованием подписанного токена
- Сопоставьте алгоритм с типом ключа:
HS*использует общий секрет,RS*иPS*используют закрытые ключи RSA, аES*использует закрытые ключи EC. - Добавляйте утверждения срока действия и аудитории, когда принимающий сервис их ожидает.
- Не используйте рабочие закрытые ключи в общих браузерах и на общих машинах. Этот инструмент работает локально, но не может защитить ключи на уже скомпрометированном устройстве.
- Помните, что подпись не является шифрованием. Любой, кто получит токен, может декодировать заголовок и полезную нагрузку.