Реклама мешает? Идти Без рекламы Сегодня 

Генератор набора ключей JSON (JWK)

РазработчикБезопасность

[iotools_jwk_set_generator]

Гид

Генератор набора ключей JSON (JWK)

Генерирует криптографические ключи подписи в формате JSON Web Key и собирает их в JWKS (JSON Web Key Set), готовый к публикации на /.well-known/jwks.json. Поддерживает RSA, RSA-PSS и ECDSA в полном диапазоне JWA (RS256/384/512, PS256/384/512, ES256/384/512). Каждый ключ генерируется локально в вашем браузере через Web Crypto API — ничего не покидает страницу.

Как использовать

Выберите алгоритм JWA — RS256 является стандартом OAuth 2.0 / OIDC, ES256 создает более компактные подписи.
Выберите назначение ключа: sig для подписи JWT, enc для обертывания ключей содержимого или пропустите этот шаг.
Выберите стратегию ID ключа (kid) — рекомендуется RFC 7638 thumbprint; доступны также UUID v4 и пользовательские строки.
Нажмите Сгенерировать и добавить в набор. Приватный JWK, публичный JWK и kid появляются сразу.
Нажмите «Сгенерировать» снова с другим алгоритмом, чтобы добавить еще один ключ в тот же набор — набор JWKS автоматически расширяется.
Скопируйте Публичный JWKS для публикации на /.well-known/jwks.json, и оставьте Приватный JWKS только на сервере подписи.
Используйте Очистить набор чтобы удалить состояние и начать новый JWKS.

Возможности

Девять алгоритмов JWA – RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512.
Вывод JWK и JWKS – отдельные приватные и публичные JWK и набор ключей JWKS в формате OAuth 2.0 / OIDC.
RFC 7638 thumbprints – детерминированные, канонические значения, чтобы клиенты могли выбрать правильный ключ из публикованного JWKS. kid – Обеспечивается с помощью SubtleCrypto generateKey + exportKey; никакие данные ключей не покидают сеть.
100% клиентская сторона JSON-загрузки
– Сохраняйте приватный JWK, публичный JWK, публичный JWKS и приватный JWKS в виде JSON-файлов с осмысленными именами. поле
Необязательный use – Метки ключей как sig или enc, чтобы соответствовать ожиданиям потребителей. Что такое JWK и как он отличается от PEM-ключа?

 Часто задаваемые вопросы

JSON Web Key (JWK) — это JSON-объект, представляющий криптографический ключ. В отличие от PEM (который обертывает нечитаемый ASN.1 DER-бло в base64), JWK раскрывает исходные параметры ключа как именованные поля (n, e для RSA; crv, x, y для EC), а также метаданные, такие как alg, use и kid. JWK — это стандартный формат для JOSE — стандартов, включающих JWT, JWS, JWE — поэтому библиотеки JWT могут использовать их без необходимости в ASN.1-парсере.

Что такое JWKS и где его можно разместить?
JWKS (JSON Web Key Set) — это JSON-документ в форме {"keys":[...]}, содержащий один или более публичных JWK. Серверы OAuth 2.0 и OIDC публикуют свой JWKS на известной URL-адресе — обычно /.well-known/jwks.json или значение поля jwks_uri в документе обнаружения OIDC. Клиенты получают этот URL, находят ключ, чей kid совпадает с заголовком JWT, и используют его для проверки подписи.

Почему kid должен быть RFC 7638 thumbprint?
RFC 7638 определяет детерминированную, каноническую хэш-функцию из необходимых полей публичного ключа. Это обеспечивает глобально уникальный, контент-адресуемый идентификатор, который не меняется при пересериализации JWK. Это самый безопасный стандарт: два участника, независимо вычисляющие kid, всегда достигают согласия, и при смене ключа автоматически формируется новый kid.

Когда следует выбирать RS256 вместо ES256 или PS256?
RS256 (RSASSA-PKCS1-v1_5 с SHA-256) — самый широко поддерживаемый алгоритм — выбирайте его, когда требуется максимальная совместимость с старыми клиентами OAuth 2.0 / OIDC. ES256 (ECDSA на основе P-256) создает значительно более компактные подписи и является современным стандартом для новых систем. PS256 (RSA-PSS) — это модернизированный вариант RSA с улучшенной безопасностью — выбирайте его, когда требуется совместимость с RSA, но желательно более надежная вероятностная схема подписи.

Генератор набора ключей JSON Web Key (JWK) 1