什麼是 JWT 簽署器?
JWT 簽署器會透過序列化標頭與酬載,並使用秘密或私密金鑰進行簽署,建立緊湊的 JSON Web Token。結果是許多 API、OAuth 與工作階段系統使用的三段式 header.payload.signature 權杖。
何時使用這個工具
- 為 API 開發、預備環境與展示建立本機測試權杖。
- 比較不同演算法如何改變權杖標頭與簽章。
- 不必撰寫一次性指令碼,就能加入
sub、iss、aud、exp、iat、scope等宣告,或自訂應用程式欄位。 - 使用 HMAC 共享秘密,或使用 PKCS#8 PEM 或 JWK 形式的 RSA/ECDSA 私密金鑰產生權杖。
使用已簽署權杖前要檢查什麼
- 讓演算法符合金鑰類型:
HS*使用共享秘密,RS*與PS*使用 RSA 私密金鑰,ES*使用 EC 私密金鑰。 - 當接收服務需要時,加入到期時間與受眾宣告。
- 避免在共用瀏覽器與機器上使用正式環境私密金鑰。此工具會在本機執行,但無法保護金鑰免於已遭入侵的裝置存取。
- 請記住,簽署不是加密。任何收到權杖的人都能解碼標頭與酬載。