¿Odias los anuncios? Ir Sin publicidad Hoy 

Generador de Conjunto de Claves JSON Web (JWK)

DesarrolladorSeguridad

[iotools_jwk_set_generator]

Guía

Generador de Conjunto de Claves JSON Web (JWK)

Generar claves de firma criptográfica en formato de clave JSON Web y organizarlas en un conjunto de claves JSON Web (JWKS) listo para publicar en /.well-known/jwks.json. Soporta RSA, RSA-PSS y ECDSA en el rango completo de JWA (RS256/384/512, PS256/384/512, ES256/384/512). Cada clave se genera localmente en tu navegador mediante la API de Criptografía Web — nada sale de la página.

Cómo Usar

Elige el algoritmo JWA — RS256 es el estándar por defecto de OAuth 2.0 / OIDC, ES256 produce firmas más pequeñas.
Elige un uso de la clave: sig para firmar JWTs, enc para envoltura de claves de contenido, o omitirla.
Elige una estrategia de ID de clave (kid) — el huella de RFC 7638 se recomienda; también están disponibles UUID v4 y cadenas personalizadas.
Haz clic en Generar y Añadir al Conjunto. La clave privada JWK, la clave pública JWK y el kid aparecen inmediatamente.
Haz clic en Generar nuevamente con un algoritmo diferente para añadir otra clave al mismo conjunto — el paquete JWKS crece automáticamente.
Copia el JWKS Pública para publicar en /.well-known/jwks.json, y mantén el JWKS Privado solo en el servidor de firma.
Usa Limpiar Conjunto para borrar el estado y comenzar de nuevo con un JWKS.

Características

Nueve algoritmos JWA – RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512.
Salida JWK + JWKS – Claves privadas y públicas individuales, más un paquete multiclave de JWKS en formato de OAuth 2.0 / OIDC.
Huellas de RFC 7638 – Valores determinísticos y canónicos kid para que los clientes puedan seleccionar la clave correcta de un JWKS publicado.
100% del lado del cliente – Impulsado por generateKey + exportKey de SubtleCrypto; nunca se transmite material de clave por la red.
Descargas en formato JSON – Guarda la clave privada JWK, la clave pública JWK, el JWKS público y el JWKS privado como archivos JSON con nombres sensatos.
Opcional use campo – Etiqueta las claves como sig o enc para cumplir con las expectativas del consumidor.

 Preguntas frecuentes

¿Qué es una JWK y cómo se diferencia de una clave PEM?

Una JWK (Clave JSON Web) es un objeto JSON que representa una clave criptográfica. A diferencia de PEM (que envuelve un bloque ASN.1 DER opaco en base64), una JWK expone los parámetros de la clave en campos nombrados (n, e para RSA; crv, x, y para EC), junto con metadatos como alg, use y kid. Las JWK son el formato nativo de JOSE — los estándares que incluyen JWT, JWS, JWE — por lo que las bibliotecas de JWT pueden consumirlas sin necesidad de un analizador ASN.1.
¿Qué es un JWKS y dónde debo alojarlo?

Un JWKS (Conjunto de Claves JSON Web) es un documento JSON de la forma {"keys":[...]} que lista una o más claves públicas JWK. Los servidores de OAuth 2.0 y OIDC publican su JWKS en una URL bien conocida — típicamente /.well-known/jwks.json o el valor del campo jwks_uri en el documento de descubrimiento de OIDC. Los clientes obtienen esa URL, encuentran la clave cuyo kid coincide con el encabezado del JWT y la utilizan para verificar la firma.
¿Por qué debería ser el kid una huella de RFC 7638?

El RFC 7638 define una hash determinística y canónica de los campos requeridos de la clave pública. Esto da a cada clave un identificador global único, basado en el contenido, que no cambia si se resecuencia la JWK. Es la opción más segura por defecto: dos partes que derivan el kid de forma independiente siempre acuerdan, y al rotar a una nueva clave se produce automáticamente un nuevo kid.
¿Cuándo debo elegir RS256 frente a ES256 o PS256?

RS256 (RSASSA-PKCS1-v1_5 con SHA-256) es el algoritmo más ampliamente soportado — elige este cuando necesitas compatibilidad máxima con clientes antiguos de OAuth 2.0 / OIDC. ES256 (ECDSA sobre P-256) produce firmas mucho más pequeñas y es el estándar moderno para nuevos sistemas. PS256 (RSA-PSS) es la variante moderna de RSA — elige esta cuando necesitas compatibilidad con RSA pero deseas el esquema de firma probabilístico más seguro.