Vérifier un JWT HS256 recalcule la signature HMAC-SHA256 avec votre secret partagé et la compare au troisième segment du jeton. Si elle est valide, le résultat inclut le JSON décodé d’en-tête et de charge pour inspecter les claims sans décodeur séparé.
Fonctionnement
Le jeton est découpé sur . en segments d’en-tête, de charge et de signature. Les deux premières parties sont décodées Base64url en JSON. L’outil signe ensuite header.payload avec votre secret via HMAC-SHA256 et compare le résultat à la signature fournie par une vérification en temps constant. Écarts, segments mal formés ou algorithmes incorrects dans l’en-tête sont signalés clairement.
Quand l’utiliser
- Tester l’authentification d’agents contre des API sécurisées HS256 en développement
- Déboguer des jetons créés par l’outil sign-hs256 de ce catalogue
- Valider des signatures de webhooks lors d’intégrations locales
- Confirmer qu’un jeton a été signé avec un secret connu avant de faire confiance à ses claims
Exemple
Signez une charge avec sign-hs256, collez ici le jeton et le même secret : l’outil indique Signature valide avec l’en-tête et les claims décodés dans la sortie.
Limites
HS256 uniquement—RS256 et les autres algorithmes asymétriques ne sont pas gérés ici. Les secrets sont traités en mémoire navigateur ; évitez les identifiants de production sur des machines partagées. La vérification ne contrôle pas exp, nbf ni les règles d’émetteur sauf si vous inspectez vous-même la charge décodée.