Verificar JWT HS256 vuelve a calcular la firma HMAC-SHA256 con tu secreto compartido y la compara con el tercer segmento del token. Si es válida, el resultado incluye el JSON decodificado de cabecera y carga para inspeccionar claims sin un decodificador aparte.
Cómo funciona
El token se divide por . en segmentos de cabecera, carga y firma. Las dos primeras partes se decodifican de Base64url a JSON. Luego se firma header.payload con tu secreto mediante HMAC-SHA256 y se compara el resultado con la firma aportada mediante una comprobación en tiempo constante. Desajustes, segmentos malformados o algoritmos incorrectos en la cabecera se informan con claridad.
Cuándo usarlo
- Probar la autenticación de agentes frente a APIs protegidas con HS256 en desarrollo
- Depurar tokens creados con la herramienta sign-hs256 de este catálogo
- Validar firmas de webhooks en integraciones locales
- Confirmar que un token se firmó con un secreto conocido antes de confiar en sus claims
Ejemplo
Firma una carga con sign-hs256, pega aquí el token y el mismo secreto, y la herramienta indica Firma válida con la cabecera y los claims decodificados en la salida.
Limitaciones
Solo admite HS256: RS256 y otros algoritmos asimétricos no se gestionan aquí. Los secretos se procesan en la memoria del navegador; evita credenciales de producción en equipos compartidos. La verificación no comprueba exp, nbf ni reglas de emisor salvo que inspecciones tú mismo la carga decodificada.