Verificar firma
¿Qué es JWT?
JWT (JSON Web Token, RFC 7519) es un estándar abierto para transmitir información de forma segura entre partes como un objeto JSON compacto. Se usa comúnmente para autenticación y autorización.
Estructura
Un JWT consta de tres partes codificadas en Base64URL separadas por puntos: Header.Payload.Signature. La cabecera especifica el tipo de token y el algoritmo de firma. El payload contiene las claims. La firma verifica la integridad.
Algoritmos soportados
HMAC (HS256/384/512), RSA (RS256/384/512), RSA-PSS (PS256/384/512) y ECDSA (ES256/384/512. El algoritmo sin firmar `alg=none` se rechaza por seguridad.
Formatos de clave aceptados
HMAC: cualquier cadena UTF-8. Asimétrico: solo PEM, PKCS8 (-----BEGIN PRIVATE KEY-----) para firmar, SPKI (-----BEGIN PUBLIC KEY-----) para verificar. PKCS1, SEC1, PEM cifrado y certificados X.509 no se aceptan; la herramienta te indicará el comando openssl exacto para convertirlos.