JWT Encoder
Создавайте и подписывайте JSON Web Tokens с HS256, HS384, HS512
Заголовок
Полезная нагрузка
Секретный ключ
Кодированный JWT
Ваш секретный ключ никогда не покидает браузер. Вся подпись выполняется на клиенте.
Что такое кодирование JWT?
Кодирование JWT — это процесс создания JSON Web Token — компактной, безопасной для URL строки, которая несет набор утверждений, подписанных криптографическим ключом. Результат — токен из трех частей (заголовок.данные.подпись), определенный в RFC 7519, который серверы могут проверить без сохранения состояния сеанса. Кодирование JWT онлайн позволяет создавать и подписывать токены непосредственно в браузере для тестирования и разработки.
Заголовок объявляет алгоритм подписания (например, HS256) и тип токена. Данные содержат утверждения — пары ключ-значение, такие как тема (sub), время истечения (exp) и любые пользовательские данные, необходимые приложению. Обе части сериализуются как JSON, а затем кодируются в base64url. Подпись вычисляется над закодированными заголовком и данными, используя секретный ключ, связывая все три сегмента воедино.
В отличие от файлов cookie сеанса, JWT самодостаточны: проверяющему не нужно обращаться к базе данных или вызывать внешний сервис. Это делает аутентификацию на основе JWT популярной в REST API, микросервисах и одностраничных приложениях, где бессостояние уменьшает задержку и упрощает горизонтальное масштабирование.
Зачем использовать JWT Encoder?
Создание JWT вручную требует кодирования base64url, сериализации JSON и вычисления HMAC. Этот инструмент выполняет все три шага мгновенно, чтобы вы могли сосредоточиться на правильности утверждений.
Варианты использования JWT Encoder
HS256 vs HS384 vs HS512: Сравнение алгоритмов HMAC
Все три алгоритма используют HMAC (код аутентификации сообщения на основе хеша) с общим секретом. Разница заключается в базовой функции хеша, которая влияет на длину подписи и запас безопасности. Для большинства приложений HS256 обеспечивает достаточную безопасность. Выберите HS384 или HS512, когда требования соответствия (например, FIPS-140) требуют более сильного хеша или когда ваши токены несут важные решения авторизации.
| Алгоритм | Хеш | Подпись | Скорость | Типичное использование |
|---|---|---|---|---|
| HS256 | SHA-256 | 32 B | Fastest | General purpose, default for most libraries |
| HS384 | SHA-384 | 48 B | Fast | Higher security margin, FIPS-140 compliant |
| HS512 | SHA-512 | 64 B | Fast | Maximum HMAC security, large payloads |
Справка по стандартным утверждениям JWT
RFC 7519 определяет семь зарегистрированных утверждений. Ни одно не обязательно, но правильное использование улучшает совместимость и безопасность. Утверждение exp особенно важно — токены без истечения остаются действительными неопределенно долго, если секрет не ротируется.
| Утверждение | Имя | Описание | Пример |
|---|---|---|---|
| iss | Issuer | Who issued the token | "auth.example.com" |
| sub | Subject | Who the token represents | "user-123" |
| aud | Audience | Intended recipient service | "api.example.com" |
| exp | Expiration | Unix timestamp — token invalid after this time | 1717203600 |
| nbf | Not Before | Unix timestamp — token invalid before this time | 1717200000 |
| iat | Issued At | Unix timestamp when the token was created | 1717200000 |
| jti | JWT ID | Unique token identifier for revocation tracking | "a1b2c3d4" |
Кодирование JWT в коде
Эти примеры показывают, как создавать и подписывать JWT программно. Каждый фрагмент производит валидный токен, подписанный HS256. Для промышленных систем всегда устанавливайте утверждение exp и используйте криптографически случайный секрет длиной не менее 256 бит.
async function signJWT(payload, secret, alg = 'HS256') {
const header = { alg, typ: 'JWT' }
const enc = new TextEncoder()
// Base64url encode header and payload
const b64url = (obj) =>
btoa(JSON.stringify(obj)).replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, '')
const h = b64url(header)
const p = b64url(payload)
// Sign with HMAC-SHA256
const key = await crypto.subtle.importKey(
'raw', enc.encode(secret),
{ name: 'HMAC', hash: 'SHA-256' }, false, ['sign']
)
const sig = await crypto.subtle.sign('HMAC', key, enc.encode(`${h}.${p}`))
const s = btoa(String.fromCharCode(...new Uint8Array(sig)))
.replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, '')
return `${h}.${p}.${s}`
}
// Usage
const token = await signJWT(
{ sub: 'user-123', name: 'Alice', iat: Math.floor(Date.now() / 1000) },
'your-256-bit-secret'
)
// → "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOi..."import jwt
import time
payload = {
"sub": "user-123",
"name": "Alice",
"iat": int(time.time()),
"exp": int(time.time()) + 3600, # expires in 1 hour
}
# Sign with HS256 (default)
token = jwt.encode(payload, "your-256-bit-secret", algorithm="HS256")
# → "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOi..."
# Verify and decode
decoded = jwt.decode(token, "your-256-bit-secret", algorithms=["HS256"])
# → {"sub": "user-123", "name": "Alice", "iat": 1717200000, "exp": 1717203600}const jwt = require('jsonwebtoken')
const payload = {
sub: 'user-123',
name: 'Alice',
role: 'admin',
}
// Sign — iat is added automatically
const token = jwt.sign(payload, 'your-256-bit-secret', {
algorithm: 'HS256',
expiresIn: '1h', // sets exp claim
issuer: 'auth.example.com', // sets iss claim
})
// Verify
const decoded = jwt.verify(token, 'your-256-bit-secret')
// → { sub: 'user-123', name: 'Alice', role: 'admin', iat: ..., exp: ... }package main
import (
"fmt"
"time"
"github.com/golang-jwt/jwt/v5"
)
func main() {
claims := jwt.MapClaims{
"sub": "user-123",
"name": "Alice",
"iat": time.Now().Unix(),
"exp": time.Now().Add(time.Hour).Unix(),
}
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
signed, _ := token.SignedString([]byte("your-256-bit-secret"))
fmt.Println(signed)
// → eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOi...
}