Anúncios incomodam? Ir Sem anúncios Hoje 

Codificador / Construtor de JWT

DesenvolvedorSegurança

ANUNCIADO Remover?

ENTRADA

Processo Automático

SAÍDA

Lado cliente

ANUNCIADO Remover?

Guia

Codificador / Construtor de JWT

Crie tokens assinados de JSON Web diretamente no seu navegador. Insira um cabeçalho e um corpo, escolha um algoritmo HMAC, forneça o segredo compartilhado e copie um token pronto para uso em testes de API, depuração ou desenvolvimento local. Todas as operações de assinatura ocorrem com a API Web SubtleCrypto, então seu segredo e as declarações nunca deixam a página.

Como usar

Edite o Cabeçalho (JSON) bloco para incluir o typ e quaisquer campos personalizados, tais como kid. O valor alg é sobrescrito pelo seletor de algoritmo abaixo.
Edite o Corpo (JSON) bloco com declarações padrão como iss, sub, iat, exp, mais quaisquer declarações que seu serviço precisa.
Escolha um algoritmo: HS256, HS384, ou HS512.
Cole o seu segredo compartilhado. Use uma string aleatória com pelo menos o mesmo tamanho da saída do hash para corresponder ao nível de segurança de cada algoritmo.
Copie o token resultante da caixa de saída, ou copie os cabeçalhos, corpo ou parte de assinatura individualmente.

Características

Três algoritmos HMAC – HS256, HS384 e HS512 cobrem todos os casos comuns de uso de JWT assinados com HMAC.
Assinatura em tempo real – O token assinado se regenera sempre que você editar qualquer campo, para que você veja o efeito de cada alteração imediatamente.
Validação de JSON em linha – Erros de sintaxe no cabeçalho ou corpo JSON são exibidos claramente antes de se tornarem parte de um token quebrado.
Cópia por parte – Copie o token completo ou obtenha o cabeçalho, corpo ou assinatura codificados em base64url separadamente.
Somente no lado do cliente – A assinatura é executada no navegador usando a API SubtleCrypto. Segredos e declarações nunca são enviados para um servidor.
Complementa o JWT Decode – Circulação de tokens entre o codificador e nossa ferramenta existente de decodificação de JWT para verificar declarações.

Quando usar esta ferramenta

Testar um ponto de extremidade de API que espera um token de portador com declarações específicas.
Reproduzir uma situação de autenticação falhada com um token conhecido como válido.
Ensinar ou aprender como são construídos os assinaturas de JWT.
Gerar tokens de curta duração para desenvolvimento local sem precisar montar um servidor de autenticação.

 Perguntas frequentes

O que é um JWT e por que ele é assinado?

Um JSON Web Token (JWT) é uma string compacta e segura, composta por um cabeçalho, um corpo e uma assinatura. A assinatura permite que o destinatário verifique que o cabeçalho e o corpo foram produzidos com conhecimento do segredo compartilhado e não foram modificados durante a transmissão. Sem uma assinatura válida, qualquer pessoa poderia falsificar declarações, o que é a razão pela qual todos os tokens destinados à autenticação ou autorização são assinados.
Como funciona a assinatura HMAC com HS256, HS384 e HS512?

O HMAC (Message Authentication Code baseado em hash) combina uma chave secreta com uma função de hash criptográfica. O HS256 usa SHA-256 para produzir um MAC de 256 bits, o HS384 usa SHA-384 e o HS512 usa SHA-512. O assinante calcula o HMAC sobre o cabeçalho e o corpo codificados em base64url, unidos por um ponto, e anexa o MAC codificado em base64url. Qualquer pessoa com a mesma chave pode recomputar o MAC e comparar para verificar a autenticidade.
Por que os JWTs usam base64url em vez de base64 padrão?

A base64 padrão usa os caracteres +, / e =, que devem ser codificados porcentualmente em URLs e podem causar problemas quando os tokens são passados como parâmetros de consulta ou em cabeçalhos HTTP. A base64url substitui + por -, / por _ e remove a padronização de = no final. Isso produz uma string segura para ser colocada diretamente em URLs, cabeçalhos HTTP e cookies, sem necessidade de codificação adicional.
O que torna um segredo forte o suficiente para JWTs assinados com HMAC?

Para HS256, o segredo deve ter pelo menos 32 bytes aleatórios (256 bits); para HS384, pelo menos 48 bytes; para HS512, pelo menos 64 bytes. Senhas curtas escolhidas por humanos são vulneráveis a ataques de força bruta, pois um atacante que captura um único token pode tentar adivinhar segredos offline. Gerar segredos a partir de uma fonte aleatória criptográfica, armazená-los fora da árvore de origem e rotacioná-los sempre que houver suspeita de exposição.