مولد JWT

JSON Web Token (JWT) هو تنسيق رمز مضغوط وآمن لعناوين URL يُعرَّف بموجب RFC 7519. يُستخدم عادةً للمصادقة وتبادل المعلومات الآمن في تطبيقات الويب وواجهات برمجة التطبيقات. قد تحتاج إلى إنشاء JWT لاختبار نقطة نهاية API محمية أو إنشاء رموز نموذجية للوثائق أو تصحيح تدفق المصادقة دون تشغيل الواجهة الخلفية.

تعمل هذه الأداة بالكامل في متصفحك باستخدام WebCrypto API. لا يُرسل أي بيانات إلى الخادم. ومع ذلك، نوصي باستخدام مفتاح سري للاختبار بدلاً من مفتاحك الإنتاجي الحقيقي، إذ تقتضي أفضل الممارسات عدم إدخال بيانات اعتماد حساسة في مواقع طرف ثالث.

تدعم الأداة HS256 (HMAC-SHA256) وHS384 (HMAC-SHA384) وHS512 (HMAC-SHA512) — وهي خوارزميات التوقيع المتماثل الأكثر استخداماً لـ JWT. كما تدعم "none" (رمز غير موقّع) لأغراض الاختبار. لا تدعم الخوارزميات غير المتماثلة مثل RS256 أو ES256 لأنها تتطلب مفتاحاً خاصاً.

الثلاثة خوارزميات توقيع تعتمد على HMAC وتختلف فقط في دالة تجزئة SHA المستخدمة: HS256 يستخدم SHA-256 (توقيع 256 بت)، وHS384 يستخدم SHA-384، وHS512 يستخدم SHA-512. HS256 هو الاختيار الأكثر شيوعاً. استخدم HS384 أو HS512 إذا كنت تحتاج إلى توقيع أقوى.

الحمولة هي كائن JSON يحتوي على "claims" — أزواج مفتاح-قيمة حول الموضوع (المستخدم) أو الجلسة. تشمل المطالبات المسجلة القياسية: sub (معرّف المستخدم) وiss (المُصدر) وaud (الجمهور) وexp (وقت انتهاء الصلاحية) وiat (تاريخ الإصدار) وnbf (قبل). يمكنك أيضاً إضافة أي مطالبات مخصصة يحتاجها تطبيقك.

تُنتج "none" رمز JWT غير موقّع — قسم التوقيع فارغ. يجب عدم استخدامها في بيئات الإنتاج مطلقاً لأنها لا توفر حماية للنزاهة. قد تكون مفيدة لاختبار المحللات أو إنشاء رموز للأنظمة التي لا تتحقق من التوقيعات، لكن تعاملها دائماً على أنها غير آمنة.

يتيح لك مساعد المطالبات القياسية إضافة مطالبات JWT المسجلة الشائعة بسرعة إلى حمولتك. أدخل حقول Subject (sub) وIssuer (iss) و/أو Audience (aud) واختر نافذة انتهاء الصلاحية. تضبط الأداة تلقائياً iat على طابع Unix الزمني الحالي وتحسب exp من النافذة المحددة.

يتكون JWT من ثلاثة أجزاء مفصولة بنقاط: Header (الخوارزمية ونوع الرمز) وPayload (المطالبات) وSignature. يعرض التحليل كل جزء مشفّر بـ base64url مع ترميز لوني حتى تتمكن من التعرف بصرياً على بنية رمزك المُنشأ.

التوقيعات المستندة إلى HMAC حتمية — إذا كانت الرأس والحمولة والسر متطابقة، فستكون النتيجة دائماً متطابقة. إذا رأيت رمزاً مختلفاً، تحقق مما إذا كانت مطالبة iat يتم تحديثها تلقائياً إلى الطابع الزمني الحالي.

هذه الأداة مُصممة لإنشاء الرموز وتوقيعها. لفك تشفير JWT موجود وفحصه، استخدم أداة JWT Decoder. لم يتم تطبيق التحقق من التوقيع في هذا المولد — استخدم مكتبة مخصصة أو JWT Decoder للتحقق.

ستعرض الأداة رسالة خطأ حمراء أسفل منطقة النص ولن تُنشئ رمزاً حتى يصبح JSON صالحاً. تأكد من أن جميع المفاتيح وقيم السلاسل محاطة بعلامات اقتباس مزدوجة وأن البنية الإجمالية كائن JSON صالح.

بالنسبة لـ HS256، يجب أن يكون المفتاح على الأقل 32 بايت (256 بت). بالنسبة لـ HS384 استخدم 48 بايت على الأقل، وبالنسبة لـ HS512 استخدم 64 بايت على الأقل. استخدام مفتاح أقصر مسموح به تقنياً لكنه يقلل من الأمان.