Проверка JWT HS256 заново вычисляет подпись HMAC-SHA256 с вашим общим секретом и сравнивает её с третьим сегментом токена. При успехе в результат входят декодированные JSON заголовка и полезной нагрузки, чтобы просмотреть утверждения без отдельного декодера.
Как это работает
Токен делится по . на сегменты заголовка, полезной нагрузки и подписи. Первые две части декодируются из Base64url в JSON. Затем инструмент подписывает header.payload вашим секретом через HMAC-SHA256 и сравнивает результат с переданной подписью проверкой за постоянное время. Несовпадения, повреждённые сегменты или неверные алгоритмы в заголовке сообщаются явно.
Когда использовать
- Тестировать аутентификацию агентов против API с HS256 во время разработки
- Отлаживать токены, созданные инструментом sign-hs256 в этом каталоге
- Проверять подписи webhook при локальной интеграции
- Убедиться, что токен подписан известным секретом, прежде чем доверять утверждениям
Пример
Подпишите полезную нагрузку через sign-hs256, вставьте сюда токен и тот же секрет — инструмент сообщит Подпись верна и покажет декодированные заголовок и утверждения.
Ограничения
Поддерживается только HS256 — RS256 и другие асимметричные алгоритмы здесь не обрабатываются. Секреты обрабатываются в памяти браузера; избегайте production-учётных данных на общих машинах. Проверка не смотрит exp, nbf и правила издателя, если вы сами не проверите декодированную полезную нагрузку.