Monu Tools

Penjana JWT

Buat dan tandatangani JSON Web Token HS256 daripada payload dan rahsia, sepenuhnya dalam pelayar anda.

Cara menggunakan Penjana JWT

  1. 01

    Edit payload sebagai objek JSON.

  2. 02

    Masukkan rahsia HS256 anda.

  3. 03

    Jana dan salin token yang ditandatangani.

Tandatangani token dalam pelayar

Penjana JWT yang membina dan menandatangani JSON Web Token daripada muatan dan rahsia anda, sepenuhnya dalam pelayar anda menggunakan Web Crypto API. Ia berpasangan dengan penyahkod JWT, yang memeriksa token sedia ada.

Bagaimana JWT disusun bersama

JWT mempunyai tiga bahagian yang dipisahkan oleh titik: pengepala, muatan tuntutan, dan tandatangan, masing-masing dikod Base64url. Tandatangan itulah yang menjadikan token boleh dipercayai: ia membuktikan muatan tidak diubah dan dikeluarkan oleh seseorang yang memegang rahsia.

HS256 dan rahsia anda

Alat ini menandatangani dengan HS256, iaitu HMAC menggunakan SHA-256, algoritma JWT simetri yang paling biasa. Rahsia yang sama menandatangani dan mengesahkan token, jadi ia mesti dirahsiakan pada pelayan.

Untuk HS256, gunakan rahsia yang panjang dan rawak. Rahsia yang pendek atau mudah diteka menjejaskan keseluruhan token, kerana sesiapa yang menekanya boleh mencipta token sah mereka sendiri.

Dikod, bukan disulitkan

Satu perkara penting tentang JWT: muatan hanya dikod, bukan disulitkan. Sesiapa yang mempunyai token boleh membaca tuntutannya dengan menyahkod Base64, jadi jangan sekali-kali meletakkan kata laluan atau data sensitif dalam JWT. Tandatangan menghentikan pengubahsuaian, ia tidak memberikan kerahsiaan.

Nota keselamatan

Kerana penandatanganan berlaku secara setempat, rahsia dan muatan anda tidak pernah meninggalkan peranti anda. Walau bagaimanapun, elakkan menampal rahsia pengeluaran sebenar pada komputer yang dikongsi atau awam.

Soalan lazim

Algoritma mana yang digunakan?

HS256 (HMAC dengan SHA-256), algoritma JWT simetri yang paling biasa, ditandatangani dalam pelayar anda dengan Web Crypto API.

Adakah rahsia saya dihantar ke mana-mana?

Tidak. Penandatanganan berlaku sepenuhnya dalam pelayar anda, jadi rahsia dan payload tidak pernah meninggalkan peranti anda. Walaupun begitu, elakkan rahsia pengeluaran sebenar pada mesin bersama.

Bolehkah saya juga menyahkodkan token?

Ya, gunakan alat penyahkod JWT untuk memeriksa header dan payload token yang sedia ada.

Sumber

Benamkan alat ini

Tambah alat ini ke laman web anda sendiri. Salin coretan di bawah; ia kekal terkini secara automatik.

<iframe src="https://monu.tools/embed/ms/jwt-generator" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Alat berkaitan