JWT 弱密钥检测器

HS256 这类对称签名的 JWT,签名密钥就是「一个字符串」。一旦这个密钥是 secret123456keyboard cat 这种常见值, 任何人都能离线猜出来,然后伪造出任意身份的合法 token——把自己的 role 改成 admin 也照样能通过验证。 这个工具在你浏览器本地,用上百个最常见的弱密钥逐个验签你的 token;命中,就说明你的鉴权形同虚设。token 和密钥全程不离开本机。

追加自定义候选密钥(每行一个,会和内置字典一起试)