Công cụ ký JSON Web Token (JWT)

Ký JWT cục bộ bằng HMAC secrets hoặc khóa riêng PEM/JWK để kiểm thử API và gỡ lỗi xác thực.

Payload và header
Chỉnh sửa các claims JSON và các trường protected header tùy chọn sẽ được ký vào token.
Công cụ hỗ trợ claim đã đăng ký

Dùng các điều khiển này để cập nhật các claim NumericDate phổ biến trong payload JSON.

Hiển thị giá trị ký trực tiếp và chỉ ghi giá trị đó vào payload.iat khi bạn ký.

Giá trị payload: 1713139200Giá trị ký: 1713139200

Nhập thủ công sẽ đặt exp cố định. Các khoảng nhanh đi theo iat khi ký và được chốt khi bạn ký.

Giá trị payload: Chưa đặtGiá trị ký: Chưa đặt

Thuật toán đã chọn luôn được ghi vào header. Dùng trường này cho các giá trị ghi đè như kid hoặc typ.

Khóa ký
Chọn một thuật toán, cung cấp secret hoặc khóa riêng tương ứng, rồi tạo một JWT compact.

Thuật toán HMAC dùng một secret dùng chung.

Dùng cho HS256, HS384, và HS512. Secret không được lưu vào bộ nhớ cục bộ.

Token đã ký
Sao chép JWT compact hoặc kiểm tra chính xác các đoạn header, payload và signature.
Chưa có token nào được ký
Thêm payload JSON hợp lệ và khóa ký, rồi ký để tạo một JWT compact.
Tải xuống

JWT signer là gì?

JWT signer tạo một JSON Web Token compact bằng cách tuần tự hóa header và payload, rồi ký chúng bằng secret hoặc khóa riêng. Kết quả là token ba phần header.payload.signature được nhiều hệ thống API, OAuth, và session sử dụng.

Khi nào nên dùng công cụ này

  • Tạo token kiểm thử cục bộ cho phát triển API, môi trường staging, và demo.
  • So sánh cách các thuật toán khác nhau làm thay đổi header và signature của token.
  • Thêm các claims như sub, iss, aud, exp, iat, scope, hoặc các trường ứng dụng tùy chỉnh mà không cần viết một script dùng tạm.
  • Tạo token bằng HMAC shared secrets hoặc bằng khóa riêng RSA/ECDSA ở dạng PKCS#8 PEM hoặc JWK.

Cần kiểm tra gì trước khi dùng token đã ký

  • Khớp thuật toán với loại khóa: HS* dùng shared secret, RS*PS* dùng khóa riêng RSA, còn ES* dùng khóa riêng EC.
  • Thêm claims về thời hạn và audience khi dịch vụ nhận yêu cầu.
  • Không để khóa riêng production trong trình duyệt và máy dùng chung. Công cụ này chạy cục bộ, nhưng không thể bảo vệ khóa khỏi một thiết bị đã bị xâm phạm.
  • Hãy nhớ rằng ký không phải là mã hóa. Bất kỳ ai nhận được token đều có thể giải mã header và payload.