JWT 弱密钥检测器
HS256 这类对称签名的 JWT,签名密钥就是「一个字符串」。一旦这个密钥是 secret、123456、keyboard cat 这种常见值,
任何人都能离线猜出来,然后伪造出任意身份的合法 token——把自己的 role 改成 admin 也照样能通过验证。
这个工具在你浏览器本地,用上百个最常见的弱密钥逐个验签你的 token;命中,就说明你的鉴权形同虚设。token 和密钥全程不离开本机。
HS256 这类对称签名的 JWT,签名密钥就是「一个字符串」。一旦这个密钥是 secret、123456、keyboard cat 这种常见值,
任何人都能离线猜出来,然后伪造出任意身份的合法 token——把自己的 role 改成 admin 也照样能通过验证。
这个工具在你浏览器本地,用上百个最常见的弱密钥逐个验签你的 token;命中,就说明你的鉴权形同虚设。token 和密钥全程不离开本机。