هل أستطيع إضافة iat أو exp؟

ضع iat و exp مباشرة داخل حمولة JSON. لا تملأ الأداة هذه القيم تلقائيًا حتى يبقى التحكم الكامل بمجموعة الـ claims في يدك.

مولّد JWT — توقيع HS256 داخل المتصفح

مولّد JWT (HS256)

خصوصية بالتصميم — يعمل بالكامل في متصفحك

ابنِ JWT موقّعًا بـ HS256 من حمولة JSON وسر مشترك، حيث تُحسب الترويسة والجسم والتوقيع داخل المتصفح عبر Web Crypto.

لماذا HS256 فقط

HS256 هو أكثر خوارزميات JWT شيوعًا، يستعمل HMAC مع SHA-256، ويدعمه Web Crypto أصليًّا. أما RS256 و ES256 فيحتاجان مفتاحًا خاصًا وسيلتحقان بنا حين ينضج مولّد المفاتيح.

هل يُرسَل السرّ إلى الخادم

لا. يجري التوقيع داخل المتصفح باستخدام crypto.subtle، ولا يغادر السرّ ولا الحمولة هذه التبويبة.

ما طول السرّ المناسب

لا يقل عن 32 بايت (256 بت) لأجل HS256. الأطوال الأقل تُضعف الضمان الأمني وإن ظلّ التوقيع قابلًا للتحقق.

الأسئلة الشائعة

لماذا HS256 فقط؟: HS256 هو أكثر خوارزميات JWT شيوعًا، يستعمل HMAC مع SHA-256، ويدعمه Web Crypto أصليًّا. أما RS256 و ES256 فيحتاجان مفتاحًا خاصًا وسيلتحقان بنا حين ينضج مولّد المفاتيح.
هل يُرسَل السرّ إلى الخادم؟: لا. يجري التوقيع داخل المتصفح باستخدام crypto.subtle، ولا يغادر السرّ ولا الحمولة هذه التبويبة.
ما طول السرّ المناسب؟: لا يقل عن 32 بايت (256 بت) لأجل HS256. الأطوال الأقل تُضعف الضمان الأمني وإن ظلّ التوقيع قابلًا للتحقق.
هل أستطيع إضافة iat أو exp؟: ضع iat و exp مباشرة داخل حمولة JSON. لا تملأ الأداة هذه القيم تلقائيًا حتى يبقى التحكم الكامل بمجموعة الـ claims في يدك.