Anúncios incomodam? Ir Sem anúncios Hoje 

Gerador de Conjunto de Chaves JSON Web (JWK)

DesenvolvedorSegurança

[iotools_jwk_set_generator]

Guia

Gerador de Conjunto de Chaves JSON Web (JWK)

Gerar chaves de assinatura criptográfica no formato de Chave Web JSON e montá-las em um conjunto de chaves (JWKS) pronto para publicar em /.well-known/jwks.json. Suporta RSA, RSA-PSS e ECDSA dentro da totalidade da faixa JWA (RS256/384/512, PS256/384/512, ES256/384/512). Cada chave é gerada localmente no seu navegador via a API de Criptografia da Web — nada sai da página.

Como usar

Escolha o algoritmo JWA — RS256 é o padrão do OAuth 2.0 / OIDC, ES256 produz assinaturas mais pequenas.
Escolha o uso da chave: sig para assinar JWTs, enc para envolver chaves de conteúdo, ou omitir.
Escolha uma estratégia de ID da chave (kid) — o thumbprint da RFC 7638 é recomendado; UUID v4 e strings personalizadas também estão disponíveis.
Clique Gerar e Adicionar ao Conjunto. O JWK privado, o JWK público e o kid aparecem imediatamente.
Clique em Gerar novamente com um algoritmo diferente para adicionar outra chave ao mesmo conjunto — o bundle do JWKS cresce automaticamente.
Copie o JWKS Público para publicar em /.well-known/jwks.json, e mantenha o JWKS Privado apenas no servidor de assinatura.
Use o Limpar Conjunto para apagar o estado e começar um novo JWKS.

Características

Nove algoritmos JWA – RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512.
Saída JWK + JWKS – Chaves privadas e públicas individuais, mais um bundle de múltiplas chaves no formato do OAuth 2.0 / OIDC.
Thumbprints da RFC 7638 – Valores determinísticos e canônicos kid para que os clientes possam escolher a chave correta de um JWKS publicado.
100% do lado do cliente – Baseado na SubtleCrypto generateKey + exportKey; nenhum material de chave atravessa a rede.
Downloads em JSON – Salve o JWK privado, o JWK público, o JWKS público e o JWKS privado como arquivos JSON com nomes sensatos.
Opcional use campo – Marque as chaves como sig ou enc para corresponder às expectativas dos consumidores.

 Perguntas frequentes

Qual é uma JWK e como ela difere de uma chave PEM?

Uma Chave Web JSON (JWK) é um objeto JSON que representa uma chave criptográfica. Diferentemente de PEM (que envolve um bloco ASN.1 DER opaco em base64), a JWK expõe os parâmetros brutos da chave como campos nomeados (n, e para RSA; crv, x, y para EC), além de metadados como alg, use e kid. As JWKs são o formato nativo para JOSE — os padrões que incluem JWT, JWS, JWE — então as bibliotecas JWT podem consumi-las sem necessidade de um analisador ASN.1.
Qual é um JWKS e onde devo hospedá-lo?

Um JWKS (Conjunto de Chaves Web JSON) é um documento JSON na forma {"keys":[...]} que lista uma ou mais chaves públicas JWK. Servidores OAuth 2.0 e OIDC publicam seus JWKS em uma URL bem conhecida — normalmente /.well-known/jwks.json ou o valor do campo jwks_uri no documento de descoberta do OIDC. Os clientes acessam essa URL, encontram a chave cujo kid corresponde ao cabeçalho do JWT e usam-a para verificar a assinatura.
Por que o kid deve ser um thumbprint da RFC 7638?

A RFC 7638 define um hash determinístico e canônico dos campos obrigatórios da chave pública. Isso dá a cada chave um identificador globalmente único e baseado no conteúdo, que não muda se a JWK for re-serializada. É a opção mais segura: duas partes que derivam o kid independentemente sempre concordam, e a troca para uma nova chave gera automaticamente um novo kid.
Em que momento devo escolher RS256 em vez de ES256 ou PS256?

RS256 (RSASSA-PKCS1-v1_5 com SHA-256) é o algoritmo mais amplamente suportado — escolha-o quando precisar de compatibilidade máxima com clientes antigos do OAuth 2.0 / OIDC. ES256 (ECDSA sobre P-256) produz assinaturas muito menores e é o padrão moderno para novos sistemas. PS256 (RSA-PSS) é a variante moderna de segurança do RSA — escolha-o quando precisar de compatibilidade com RSA, mas desejar o esquema de assinatura probabilístico mais seguro.