JWT HS256 prüfen berechnet die HMAC-SHA256-Signatur mit Ihrem gemeinsamen Geheimnis neu und vergleicht sie mit dem dritten Segment des Tokens. Bei Gültigkeit enthält das Ergebnis dekodiertes Header- und Payload-JSON, sodass Sie Claims ohne separaten Decoder prüfen können.
So funktioniert es
Das Token wird an . in Header-, Payload- und Signatursegmente geteilt. Die ersten beiden Teile werden Base64url-dekodiert zu JSON. Anschließend wird header.payload mit Ihrem Geheimnis per HMAC-SHA256 signiert und das Ergebnis mit der gelieferten Signatur in konstanter Zeit verglichen. Abweichungen, fehlerhafte Segmente oder falsche Algorithmen im Header werden klar gemeldet.
Wann Sie es nutzen
- Agenten-Authentifizierung gegen HS256-gesicherte APIs während der Entwicklung testen
- Tokens aus dem Signier-Tool sign-hs256 in diesem Katalog debuggen
- Webhook-Signaturen bei lokaler Integration prüfen
- Bestätigen, dass ein Token mit einem bekannten Geheimnis signiert wurde, bevor Sie den Claims vertrauen
Beispiel
Signieren Sie eine Payload mit sign-hs256, fügen Sie Token und dasselbe Geheimnis hier ein — das Tool meldet Signatur gültig und zeigt dekodierten Header sowie Claims in der Ausgabe.
Einschränkungen
Unterstützt nur HS256—RS256 und andere asymmetrische Algorithmen werden hier nicht behandelt. Geheimnisse liegen im Browser-Speicher; vermeiden Sie Produktionszugangsdaten auf gemeinsam genutzten Rechnern. Die Prüfung berücksichtigt weder exp, nbf noch Ausstellerregeln, sofern Sie die dekodierte Payload nicht selbst prüfen.