Signez un JWT avec HS256 (HMAC-SHA256) à partir d’une charge JSON et d’un secret partagé. L’outil émet un jeton complet en trois parties (header.payload.signature) compatible avec les bibliothèques JWT courantes et l’outil de décodage de ce site.
Fonctionnement de la signature HS256
- Le JSON d’en-tête (
alg: HS256,typ: JWT) est encodé en Base64URL. - Le JSON de charge (vos claims) est encodé en Base64URL.
- HMAC-SHA256 est calculé sur
header.payloadavec votre secret, puis encodé en Base64URL comme signature.
Cas d’usage courants
- Prototyper des flux d’auth avant de brancher un émetteur backend
- Générer des jetons de test pour des API gateways ou des playgrounds GraphQL
- Faire un aller-retour avec le décodeur JWT pour inspecter en-tête et claims
Limites
HS256 utilise un secret symétrique—quiconque le possède peut falsifier des jetons. La signature asymétrique RS256/ES256 n’est pas prise en charge ici. La charge doit être du JSON valide. N’utilisez jamais de secrets de production dans des outils navigateur.
Exemple
La charge {"sub":"123"} avec le secret secret produit un JWT à trois segments décodable par les bibliothèques standard.