Header
Headerには、JWTの種類や署名アルゴリズムなどの情報が含まれます。代表的な項目には alg や typ があります。
JWT デコーダー
JWTをブラウザ上でデコードし、Header・Payload・Signatureを分かりやすく表示します。入力内容はサーバーに送信されず、すべてローカルで処理されます。
JWT の読み方
JWT デコーダーで、Header・Payload・Signature の見方に加えて、標準クレームや有効期限の確認方法も知りたいときに使います。署名検証は行わず、内容の確認に向いています。
確認例
header.payload.signatureJWT を入力して中身を確認する
Bearer プレフィックス、半角スペース、改行は自動で除去されます。署名の検証は行いません。
入力されたJWTはサーバーに送信されません。すべての処理はブラウザ内で行われます。ただし、本番環境のアクセストークンなど機密性の高い情報の取り扱いには注意してください。
デコード結果
Header / Payload / Signature を分けて表示し、標準クレームと有効期限も補足します。
JWT を入力して「デコード」を押すと、結果がここに表示されます。
JWTの基本
JWT(JSON Web Token)は、JSON形式の情報を安全にやり取りするためのトークン形式です。主にログイン状態の管理、API認証、ユーザー情報の受け渡しなどに利用されます。
JWTの構造
JWTは Header、Payload、Signature の3つの部分で構成され、それぞれがドットで区切られています。
header.payload.signature
Payload
Payloadには、ユーザーID、有効期限、発行者、権限などの情報が含まれます。Payloadの各項目はクレームと呼ばれます。
Signature
Signatureは、JWTが改ざんされていないかを確認するために使われる署名です。このツールでは署名の検証は行わず、署名部分の表示のみを行います。
標準クレーム
iss、sub、aud、exp、nbf、iat、jti などの標準クレームは、JWTの用途や有効期間を理解する手がかりになります。日時系の値はローカルタイムゾーンで読みやすく変換します。
注意事項
デコードできることと、そのJWTが信頼できることは別です。署名検証を行わないため、認証・認可の判断にこの結果だけを使わないでください。Payload は暗号化されていない限り誰でも読むことができます。
よくある質問
JWTデコーダーとは何ですか?
JWTをHeader、Payload、Signatureに分解し、Base64URLデコードして中身を確認できるツールです。
入力したJWTはサーバーに送信されますか?
いいえ。入力されたJWTはサーバーに送信されません。すべての処理はブラウザ内で行われます。
署名の検証はできますか?
このツールでは署名の検証は行いません。JWTの中身を確認するためのデコード専用ツールです。
JWTの有効期限は確認できますか?
はい。Payloadに exp クレームが含まれている場合、Unix Timestampを日時に変換し、現在時刻と比較して有効期限内かどうかを表示します。
ツール一覧を見る
ツール一覧ページで、他の生成ツールを比較したり切り替えたりできます。
安全性
ブラウザ内完結
生成と書き出しはブラウザ内で完結します。
送信なし
入力した値はサーバーへ送信されません。
保存なし
再読み込みすると入力と結果は消えます。