Quelle différence entre HS256 et RS256 ?

HS256 utilise un secret symétrique partagé (même clé pour signer et vérifier). RS256 utilise une paire de clés asymétrique : la clé privée signe, la clé publique vérifie — plus adapté aux architectures distribuées.

Pourquoi la vérification de signature échoue-t-elle ?

Les causes habituelles : secret incorrect, token altéré, algorithme mal configuré (standard vs URL-safe), ou token expiré (mais l'expiration n'invalide pas la signature elle-même).

Flowfiles ← Décodeur JWT

Vérifier la signature d'un JWT en ligne

Q: Comment vérifier une signature JWT HS256 ?

Collez votre JWT, ouvrez les Options avancées et entrez le secret HMAC. L'outil utilise SubtleCrypto pour recalculer la signature HMAC-SHA256 et la comparer à celle du token.

Q: Comment vérifier une signature JWT RS256 ?

Collez votre JWT et entrez la clé publique RSA au format PEM (SPKI). L'outil importe la clé via SubtleCrypto et vérifie la signature RSA-PKCS#1-v1_5 SHA-256.

Valider token JWT — HS256 · HS384 · HS512 · RS256 · RS384 · RS512 · ES256 · PS256 — 100% local

Collez votre JWT et entrez le secret HMAC ou la clé publique PEM pour vérifier la signature. L'outil utilise l'API SubtleCrypto du navigateur pour une vérification cryptographique sans envoyer aucune donnée.

Vérifiez la signature de votre token JWT

Ouvrir le vérificateur JWT →

Comment vérifier une signature JWT ?

La vérification d'une signature JWT garantit deux choses : que le token a bien été émis par la partie qui prétend l'avoir émis, et qu'il n'a pas été modifié en transit.

HS256/384/512 : entrez le secret partagé. L'outil recalcule le HMAC et compare.
RS256/384/512 : entrez la clé publique PEM (SPKI). L'outil vérifie RSA-PKCS#1-v1_5.
PS256/384/512 : entrez la clé publique PEM. L'outil vérifie RSA-PSS.
ES256/384/512 : entrez la clé publique EC PEM. L'outil vérifie ECDSA.

Questions fréquentes

Comment vérifier une signature JWT HS256 ?

Collez votre JWT, cliquez sur Options avancées et entrez le secret HMAC. L'outil recalcule la signature HMAC-SHA256 sur le header et le payload encodés, et la compare à la signature du token.

Comment vérifier une signature JWT RS256 ?

Entrez la clé publique RSA au format PEM (SPKI, -----BEGIN PUBLIC KEY-----). L'API SubtleCrypto importe la clé et vérifie la signature RSA-PKCS#1-v1_5 SHA-256. La clé privée n'est jamais requise pour vérifier.

La vérification de signature confirme-t-elle que le token est valide ?

La vérification confirme l'authenticité (non-altération, source connue), mais pas la validité temporelle. Un token peut avoir une signature valide mais être expiré (exp dans le passé) ou pas encore actif (nbf dans le futur).

Mon secret ou ma clé privée sont-ils exposés ?

Non. Pour HS256, le secret n'est utilisé que pour le calcul HMAC dans SubtleCrypto — il ne quitte pas le navigateur. Pour RS256, seule la clé publique est nécessaire, pas la clé privée.

Outils associés

Décodeur JWT complet Décoder un JWT Expiration JWT JWT OAuth 2.0 Encodeur Base64 Générateur UUID