Vérifier la signature
Qu'est-ce que JWT ?
JWT (JSON Web Token, RFC 7519) est un standard ouvert pour transmettre de manière sécurisée des informations entre plusieurs parties sous forme d'un objet JSON compact. Il est couramment utilisé pour l'authentification et l'autorisation.
Structure
Un JWT est composé de trois parties encodées en Base64URL séparées par des points : En-tête.Charge utile.Signature. L'en-tête indique le type de jeton et l'algorithme de signature. La charge utile contient les revendications (claims). La signature vérifie l'intégrité.
Algorithmes supportés
HMAC (HS256/384/512), RSA (RS256/384/512), RSA-PSS (PS256/384/512) et ECDSA (ES256/384/512). Le mode non signé `alg=none` est rejeté pour des raisons de sécurité.
Formats de clés acceptés
HMAC : toute chaîne UTF-8. Asymétrique : PEM uniquement. PKCS8 (-----BEGIN PRIVATE KEY-----) pour la signature, SPKI (-----BEGIN PUBLIC KEY-----) pour la vérification. Les formats PKCS1, SEC1, PEM chiffré et les certificats X.509 ne sont pas acceptés. L'outil vous indiquera la commande openssl exacte pour les convertir.