لا تحب الإعلانات؟ يذهب خالية من الإعلانات اليوم 

مُنشئ / مُشفّر JWT

مطورحماية

إعلان · حذف؟

مدخل

عملية تلقائية

انتاج

جانب العميل

إعلان · حذف؟

مرشد

مُنشئ / مُشفّر JWT

بناء وثائق JWT الموقعة مباشرة في متصفحك. أدخل عنوانًا وبيانات محتوى، اختر خوارزمية HMAC، وقدم السر المُشارك، ثم نسخ وثيقة جاهزة للاستخدام في اختبارات الواجهات، أو التصحيح، أو التطوير المحلي. يتم تنفيذ كل عملية التوقيع باستخدام واجهة SubtleCrypto للويب، لذا لا تخرج السر أو البيانات إلى الصفحة.

كيفية استخدام

تعديل العنوان (JSON) الحقل لتشمل typ وأي حقول مخصصة مثل kid. القيمة alg تُستبدل من خلال مُختيار الخوارزمية أدناه.
تعديل محتوى الطلب (JSON) الحقل مع بيانات معيارية مثل iss, sub, iat, exp، بالإضافة إلى أي بيانات مخصصة تحتاجها خدمةك.
اختر خوارزمية: HS256, HS384، أو HS512.
ألصق السر المُشاركاستخدم سلسلة عشوائية على الأقل تساوي طول المخرج المُستخدم لتناسب مستوى الأمان لكل خوارزمية.
انسخ الوثيقة الناتجة من الصندوق المُخرج، أو انسخ أجزاء العنوان، أو المحتوى، أو التوقيع بشكل منفصل.

خصائص

ثلاث خوارزميات HMAC – HS256، HS384، وHS512 تغطي كل حالة استخدام شائعة لـ JWT الموقعة بـ HMAC.
توقيع فوري – يتم تجديد التوقيع عند أي تغيير في الحقل، لذا ترى تأثير كل تغيير فورًا.
التحقق من صحة JSON في الوقت الفعلي – تظهر رسالة خطأ واضحة عند وجود بيانات غير صحيحة في العنوان أو المحتوى قبل أن تصبح جزءًا من وثيقة مُتضررة.
نسخ جزئي – يمكنك نسخ الوثيقة الكاملة أو استخلاص العنوان، أو المحتوى، أو التوقيع بتنسيق base64url بشكل منفصل.
من جانب العميل فقط – يتم تنفيذ التوقيع داخل المتصفح باستخدام SubtleCrypto. لا تُرسل السر أو البيانات إلى خادم.
مُزود مع مُحلل JWT – تُستخدم وثائق مُعاد توليد بين مُحرر JWT وأداة مُحلل JWT الموجودة لدينا لتأكيد البيانات.

متى تستخدم هذه الأداة

اختبار نقطة نهاية واجهة برمجة تطبيقات تتوقع وثيقة بearer مع بيانات محددة.
إعادة إنتاج حالة فشل في التحقق من الهوية باستخدام وثيقة معروفة.
تعليم أو تعلم كيفية بناء توقيعات JWT.
إنشاء وثائق مؤقتة للتطوير المحلي دون الحاجة إلى تطبيق خدمة تحقق.

 التعليمات

ما هو JWT وما السبب وراء توقيعه؟

يُعد JWT (مُوَقّع وثيقة JSON) سلسلة مختصرة وآمنة في صيغة URL، تتكوّن من عنوان، محتوى، وتوقيع. يسمح التوقيع للطرف المُستلم بتأكيد أن العنوان والمحتوى تم إنتاجهما باستخدام السر المُشارك ولم يُعدل أثناء النقل. بدون توقيع صالح، يمكن لأي شخص تزييف البيانات، ولذلك يتم توقيع كل وثيقة مُخصصة للتحقق أو التصريح.
كيف تعمل عملية التوقيع باستخدام HMAC مع HS256، HS384، وHS512؟

يُدمج HMAC (كود التحقق المبني على التوقيع) السر مع دالة تشفير. يستخدم HS256 دالة SHA-256 لإنتاج مفتاح 256 بت، ويستخدم HS384 دالة SHA-384، ويستخدم HS512 دالة SHA-512. يُحسب التوقيع HMAC على العنوان المُختصر والمحتوى المُختصر المُدمج بعلامة نقطة، ثم يُضاف التوقيع المُختصر بتنسيق base64url. يمكن لأي شخص يملك نفس السر إعادة حساب التوقيع ومقارنته لتأكيد صلاحيته.
لماذا تستخدم JWT base64url بدلًا من base64 المعياري؟

تستخدم base64 المعياري الرموز + و / و = التي يجب تشفيرها بـ % في الروابط، وقد تسبب مشاكل عند نقل الوثائق كمعلمات استعلام أو في عناوين HTTP. يُستبدل + بـ - و / بـ _ ويُزال التعبئة = في النهاية. ينتج هذا سلسلة آمنة يمكن وضعها مباشرة في الروابط، عناوين HTTP، أو الكوكيز دون أي تشفير إضافي.
ما الذي يجعل السر كافيًا لاستخدامه في JWT الموقعة بـ HMAC؟

لـ HS256 يجب أن يكون السر على الأقل 32 بيت عشوائي (256 بت)؛ ولـ HS384 على الأقل 48 بيت؛ ولـ HS512 على الأقل 64 بيت. تكون الأسماء البسيطة المُختارة من قبل الإنسان عرضة للهجمات بالقوة البروتية لأن المهاجم الذي يُسجّل وثيقة واحدة يمكنه تخمين السر خارج النظام. اجعل السر من مصدر عشوائي مُشفّر، واحتفظ به خارج شجرة المصدر، وقم بدورانه عند التسرب.