ตัวสร้าง JWT (HS256)
ออกแบบเพื่อความเป็นส่วนตัว — ทำงานในเบราว์เซอร์ของคุณทั้งหมด
สร้าง JWT ที่ลงนามด้วย HS256 จาก payload JSON และ secret ที่แชร์ ส่วนหัว เนื้อหา และลายเซ็นคำนวณในเบราว์เซอร์ผ่าน Web Crypto
ทำไมรองรับเฉพาะ HS256
HS256 เป็นอัลกอริทึม JWT ที่พบบ่อยที่สุด ใช้ HMAC กับ SHA-256 และ Web Crypto รองรับโดยตรง ส่วน RS256 และ ES256 ต้องใช้คีย์ส่วนตัวจึงจะเพิ่มเมื่อ keypair generator ขยายตัว
secret ถูกส่งไปยังเซิร์ฟเวอร์ไหม
ไม่ การลงนามทำงานในเบราว์เซอร์ผ่าน crypto.subtle secret และ payload ไม่ออกจากแท็บนี้
ควรใช้ secret ยาวเท่าใด
อย่างน้อย 32 ไบต์ (256 บิต) สำหรับ HS256 secret ที่สั้นกว่านี้ทำให้ระดับความปลอดภัยลดลงแม้ว่าลายเซ็นยังตรวจสอบได้
คำถามที่พบบ่อย
- ทำไมรองรับเฉพาะ HS256?
- HS256 เป็นอัลกอริทึม JWT ที่พบบ่อยที่สุด ใช้ HMAC กับ SHA-256 และ Web Crypto รองรับโดยตรง ส่วน RS256 และ ES256 ต้องใช้คีย์ส่วนตัวจึงจะเพิ่มเมื่อ keypair generator ขยายตัว
- secret ถูกส่งไปยังเซิร์ฟเวอร์ไหม?
- ไม่ การลงนามทำงานในเบราว์เซอร์ผ่าน crypto.subtle secret และ payload ไม่ออกจากแท็บนี้
- ควรใช้ secret ยาวเท่าใด?
- อย่างน้อย 32 ไบต์ (256 บิต) สำหรับ HS256 secret ที่สั้นกว่านี้ทำให้ระดับความปลอดภัยลดลงแม้ว่าลายเซ็นยังตรวจสอบได้
- เพิ่ม iat หรือ exp ได้ไหม?
- ใส่ iat และ exp ลงไปใน payload JSON ได้เลย เครื่องมือจะไม่เติมให้ คุณจึงควบคุมชุด claim ได้เต็มที่