Tiny Online Tools logoTiny Online ToolssearchRechercher des outils…grid_viewTous les outils
Accueilchevron_rightOutils de Securitechevron_rightVerificateur de signature JWTVerificateur de signature JWT

Verificateur de signature JWT

Verifiez les signatures JWT HMAC localement dans le navigateur.

Outils similaires

Décodeur JWT

Décodeur JWT

Décodez et inspectez les tokens JWT.

Base64 vers Image

Base64 vers Image

Décodez des chaînes Base64 en fichiers image.

RGB vers HEX

RGB vers HEX

convertir RGB color values vers HEX, HSL, et CSS color formats avec a color picker.

Convertir un PDF en niveaux de gris

Convertir un PDF en niveaux de gris

Convertissez un PDF couleur en niveaux de gris en rendant chaque page puis en reconstruisant le document.

Convertisseur hexadecimal vers binaire

Convertisseur hexadecimal vers binaire

Convertissez des valeurs hexadecimales en sortie binaire.

Visionneuse de metadonnees PDF

Visionneuse de metadonnees PDF

Consultez les metadonnees completes des fichiers PDF, y compris l'auteur, les dates, les dimensions et plus encore.

Renommeur de colonnes CSV

Renommeur de colonnes CSV

Renommez les en-têtes de colonnes CSV avec une liste de correspondances simple.

apps

Plus d'outils

Parcourez notre collection complète d'outils en ligne gratuits.

Vérificateur de Signature JWT

Tandis que le décodeur JWT révèle les informations contenues dans un jeton, le vérificateur de signature prouve que le jeton est légitime. La signature d'un JWT est créée en hachant l'en-tête et la charge utile avec une clé secrète—seul le serveur qui a créé le jeton peut produire une signature valide. Cet outil vérifie les signatures JWT basées sur HMAC (HS256, HS384, HS512), ce qui le rend essentiel pour déboguer les problèmes d'authentification et valider les jetons localement.

Processus de vérification de signature

Quand vous recevez un JWT, la signature prouve deux choses : (1) le jeton a été créé par quelqu'un possédant la clé secrète, et (2) l'en-tête et la charge utile n'ont pas été modifiés depuis la création. Pour vérifier, vous prenez l'en-tête et la charge utile, appliquez le même algorithme HMAC avec la clé secrète, et comparez le résultat à la signature. S'ils correspondent, le jeton est valide et fiable.

HMAC vs. signature asymétrique

Les signatures HMAC (HS256, HS384, HS512) utilisent un secret partagé—le serveur qui crée le jeton et le client qui le vérifie connaissent tous les deux le même secret. Cela fonctionne bien quand les deux parties sont sous votre contrôle (comme un service backend et un service API séparé). Pour les API publiques où vous ne pouvez pas partager un secret avec les utilisateurs, la signature asymétrique (RS256, ES256) est préférable—le serveur signe avec une clé privée et le client vérifie avec une clé publique.

Déboguer l'authentification échouée

Si un client prétend que son jeton est valide mais que votre serveur le rejette, cet outil aide à diagnostiquer le problème. Collez le jeton et le secret que votre serveur utilise, puis vérifiez la signature. Si elle échoue, le jeton pourrait avoir été altéré, ou le client utilise le mauvais secret. S'il réussit, le problème se situe ailleurs (peut-être dans la validation des revendications ou l'expiration du jeton).

Développement et test

Cet outil est inestimable pour tester les flux d'authentification sans exécuter votre backend complet. Générez un JWT, collez-le ici avec votre secret pour vérifier qu'il a été signé correctement, ou modifiez manuellement la charge utile et confirmez que la signature échoue—prouvant que votre vérification de signature fonctionne réellement.