JWT-Signatur-Verifikator

Während der JWT-Decoder zeigt, welche Informationen ein Token enthält, beweist der Signatur-Verifikator, dass der Token legitim ist. Die Signatur eines JWT wird durch Hashing des Headers und Payloads mit einem geheimen Schlüssel erstellt — nur der Server, der den Token erstellt hat, kann eine gültige Signatur erzeugen. Dieses Tool verifiziert HMAC-basierte JWT-Signaturen (HS256, HS384, HS512).

Signaturverifizierungsprozess

Wenn Sie einen JWT erhalten, beweist die Signatur zwei Dinge: (1) der Token wurde von jemandem mit dem geheimen Schlüssel erstellt, und (2) Header und Payload wurden seit der Erstellung nicht modifiziert. Zur Verifizierung nehmen Sie Header und Payload, wenden den gleichen HMAC-Algorithmus mit dem geheimen Schlüssel an und vergleichen das Ergebnis mit der Signatur. Stimmen sie überein, ist der Token gültig.

HMAC vs. asymmetrisches Signieren

HMAC-Signaturen (HS256, HS384, HS512) verwenden ein gemeinsames Geheimnis — sowohl der Server, der den Token erstellt, als auch der Client, der ihn verifiziert, kennen dasselbe Geheimnis. Für öffentliche APIs, wo das Geheimnis nicht geteilt werden kann, ist asymmetrisches Signieren (RS256, ES256) besser.

Fehlgeschlagene Authentifizierung debuggen

Wenn ein Client behauptet, sein Token ist gültig, Ihr Server ihn aber ablehnt, hilft dieses Tool bei der Diagnose. Token und den von Ihrem Server verwendeten Schlüssel einfügen und Signatur verifizieren.

Entwicklung und Tests

Dieses Tool ist unverzichtbar zum Testen von Authentifizierungsabläufen ohne vollständiges Backend. Generieren Sie einen JWT, fügen Sie ihn hier mit Ihrem Schlüssel ein, um die korrekte Signierung zu verifizieren, oder modifizieren Sie manuell den Payload und bestätigen Sie, dass die Signatur fehlschlägt.