JWT Builder & Sign (HS256, Web Crypto)

Khi nào cần build JWT?

• Test API auth: cần valid token để test endpoint protected — sinh token rồi paste vào Postman/curl.
• Mock auth response: frontend dev không phải đợi backend implement /login — fake JWT response.
• Học JWT: thử nghiệm các claim, signature — hiểu cách auth hoạt động.
• Debug expired token: regenerate token mới với exp lớn hơn.

Cấu trúc JWT

<header>.<payload>.<signature>

Header:    base64url(JSON header)        # alg, typ
Payload:   base64url(JSON claims)         # sub, exp, iat, custom...
Signature: base64url(HMAC-SHA256(
  header + "." + payload, secret
))

Standard claims (RFC 7519)

• iss (issuer): ai phát hành token.
• sub (subject): user_id token này về.
• aud (audience): token cho service nào.
• exp (expiration time): timestamp Unix khi token hết hạn.
• nbf (not before): timestamp Unix sớm nhất token có hiệu lực.
• iat (issued at): timestamp Unix khi tạo token.
• jti (JWT ID): unique ID — chống replay attack.

⚠️ Cảnh báo bảo mật

• HS256 vs RS256: HS256 dùng symmetric secret — server phát hành & verify dùng cùng key. RS256 dùng asymmetric (private/public) — secure hơn cho microservice. Tool này chỉ HS256.
• Secret yếu: tránh secret ngắn (< 32 byte). Production phải dùng random 256-bit secret từ crypto.randomBytes(32).
• KHÔNG lưu sensitive data trong payload: payload chỉ base64-encoded (KHÔNG mã hoá) — ai cũng đọc được. Đừng để password, full credit card.
• Production phải sign server-side: tool này chạy browser → secret leak nếu paste production secret. Chỉ dùng cho test/dev.