Verifica JWT HS256 ricalcola la firma HMAC-SHA256 con il tuo segreto condiviso e la confronta con il terzo segmento del token. Se è valida, il risultato include l’JSON decodificato di header e payload così puoi ispezionare i claim senza un decoder separato.
Come funziona
Il token viene diviso su . in segmenti di header, payload e firma. Le prime due parti vengono decodificate da Base64url a JSON. Poi lo strumento firma header.payload con il tuo segreto tramite HMAC-SHA256 e confronta il risultato con la firma fornita con un controllo a tempo costante. Disallineamenti, segmenti malformati o algoritmi errati nell’header vengono segnalati chiaramente.
Quando usarlo
- Testare l’autenticazione di agenti contro API protette con HS256 in sviluppo
- Eseguire il debug di token creati dallo strumento sign-hs256 di questo catalogo
- Validare firme di webhook durante integrazioni locali
- Confermare che un token è stato firmato con un segreto noto prima di fidarsi dei claim
Esempio
Firma un payload con sign-hs256, incolla qui il token e lo stesso segreto: lo strumento segnala Firma valida con header e claim decodificati in output.
Limitazioni
Supporta solo HS256—RS256 e altri algoritmi asimmetrici non sono gestiti qui. I segreti sono elaborati in memoria del browser; evita credenziali di produzione su macchine condivise. La verifica non controlla exp, nbf né le regole dell’issuer a meno che non ispezioni tu stesso il payload decodificato.