JWT Encoder
Створюйте та підписуйте JSON Web Tokens з HS256, HS384, HS512
Заголовок
Корисне навантаження
Таємний ключ
Закодований JWT
Ваш таємний ключ ніколи не покидає браузер. Усі підписи виконуються на стороні клієнта.
Що таке кодування JWT?
Кодування JWT — це процес створення JSON Web Token — компактного рядка, безпечного для URL-адреси, який несе набір претензій, підписаних криптографічним ключем. Результат — трьохчастинний токен (заголовок.корисне навантаження.підпис), визначений у RFC 7519, який сервери можуть перевірити без збереження стану сеансу.
Header оголошує алгоритм підпису (наприклад, HS256) і тип токена. Payload містить claims — пари ключ-значення, такі як суб'єкт (sub), час закінчення дії (exp) та будь-які власні дані, потрібні застосунку. Обидві частини серіалізуються як JSON, а потім кодуються у base64url. Підпис обчислюється над закодованим header і payload за допомогою секретного ключа, зв'язуючи всі три сегменти разом.
На відміну від сесійних cookie, JWT є самодостатніми: для перевірки не потрібно запитувати базу даних або звертатись до зовнішнього сервісу. Це робить JWT-автентифікацію популярною у REST API, мікросервісах та односторінкових застосунках, де без стану авторизація зменшує затримку та спрощує горизонтальне масштабування.
Навіщо використовувати JWT-кодер?
Генерація JWT вручну потребує base64url-кодування, серіалізації JSON та обчислення HMAC. Цей інструмент виконує всі три кроки миттєво, щоб ви могли зосередитись на правильному налаштуванні claims.
Випадки використання JWT-кодера
HS256 проти HS384 проти HS512: порівняння алгоритмів HMAC
Усі три алгоритми використовують HMAC (Hash-based Message Authentication Code) зі спільним секретом. Різниця — в базовій хеш-функції, яка впливає на довжину підпису та рівень безпеки. Для більшості застосунків HS256 забезпечує достатній рівень безпеки. Обирайте HS384 або HS512, коли вимоги відповідності (наприклад, FIPS-140) вимагають більш надійного хешу або коли токени несуть рішення авторизації з високою цінністю.
| Алгоритм | Хеш | Підпис | Швидкість | Типове використання |
|---|---|---|---|---|
| HS256 | SHA-256 | 32 B | Fastest | General purpose, default for most libraries |
| HS384 | SHA-384 | 48 B | Fast | Higher security margin, FIPS-140 compliant |
| HS512 | SHA-512 | 64 B | Fast | Maximum HMAC security, large payloads |
Довідник стандартних claims JWT
RFC 7519 визначає сім зареєстрованих claims. Жоден не є обов'язковим, але їхнє правильне використання покращує сумісність і безпеку. Claim exp особливо важливий — токени без терміну дії залишаються дійсними необмежено, якщо секрет не ротується.
| Claim | Назва | Опис | Приклад |
|---|---|---|---|
| iss | Issuer | Who issued the token | "auth.example.com" |
| sub | Subject | Who the token represents | "user-123" |
| aud | Audience | Intended recipient service | "api.example.com" |
| exp | Expiration | Unix timestamp — token invalid after this time | 1717203600 |
| nbf | Not Before | Unix timestamp — token invalid before this time | 1717200000 |
| iat | Issued At | Unix timestamp when the token was created | 1717200000 |
| jti | JWT ID | Unique token identifier for revocation tracking | "a1b2c3d4" |
JWT-кодування у коді
Ці приклади показують, як програмно створювати та підписувати JWT. Кожен фрагмент формує валідний токен, підписаний HS256. У виробничих системах завжди встановлюйте claim exp і використовуйте криптографічно випадковий секрет довжиною не менше 256 біт.
async function signJWT(payload, secret, alg = 'HS256') {
const header = { alg, typ: 'JWT' }
const enc = new TextEncoder()
// Base64url encode header and payload
const b64url = (obj) =>
btoa(JSON.stringify(obj)).replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, '')
const h = b64url(header)
const p = b64url(payload)
// Sign with HMAC-SHA256
const key = await crypto.subtle.importKey(
'raw', enc.encode(secret),
{ name: 'HMAC', hash: 'SHA-256' }, false, ['sign']
)
const sig = await crypto.subtle.sign('HMAC', key, enc.encode(`${h}.${p}`))
const s = btoa(String.fromCharCode(...new Uint8Array(sig)))
.replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, '')
return `${h}.${p}.${s}`
}
// Usage
const token = await signJWT(
{ sub: 'user-123', name: 'Alice', iat: Math.floor(Date.now() / 1000) },
'your-256-bit-secret'
)
// → "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOi..."import jwt
import time
payload = {
"sub": "user-123",
"name": "Alice",
"iat": int(time.time()),
"exp": int(time.time()) + 3600, # expires in 1 hour
}
# Sign with HS256 (default)
token = jwt.encode(payload, "your-256-bit-secret", algorithm="HS256")
# → "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOi..."
# Verify and decode
decoded = jwt.decode(token, "your-256-bit-secret", algorithms=["HS256"])
# → {"sub": "user-123", "name": "Alice", "iat": 1717200000, "exp": 1717203600}const jwt = require('jsonwebtoken')
const payload = {
sub: 'user-123',
name: 'Alice',
role: 'admin',
}
// Sign — iat is added automatically
const token = jwt.sign(payload, 'your-256-bit-secret', {
algorithm: 'HS256',
expiresIn: '1h', // sets exp claim
issuer: 'auth.example.com', // sets iss claim
})
// Verify
const decoded = jwt.verify(token, 'your-256-bit-secret')
// → { sub: 'user-123', name: 'Alice', role: 'admin', iat: ..., exp: ... }package main
import (
"fmt"
"time"
"github.com/golang-jwt/jwt/v5"
)
func main() {
claims := jwt.MapClaims{
"sub": "user-123",
"name": "Alice",
"iat": time.Now().Unix(),
"exp": time.Now().Add(time.Hour).Unix(),
}
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
signed, _ := token.SignedString([]byte("your-256-bit-secret"))
fmt.Println(signed)
// → eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOi...
}