ブラウザ内完結
生成と書き出しはブラウザ内で完結します。
JWT シークレット生成ツール
JWT の署名に使用する安全なシークレットキーをブラウザで生成できます。生成処理はすべて端末内で完結し、サーバーには送信されません。
JWT の署名用シークレットを生成
Base64URL を推奨形式として、.env に貼りやすい安全な値を作成します。
シークレット
.env 形式
JWT_SECRET=""強度非常に強い
- 長さ
- 64 bytes
- 文字数
- —
- 推定エントロピー
- 512 bits
- 推奨度
- 本番環境で推奨しやすい長さです。
JWT シークレットの説明
JWT シークレットとは
JWT の署名・検証に使う秘密の文字列です。HS256 などの HMAC 署名では、同じシークレットでトークンの署名と検証を行います。
JWT シークレットの推奨長
迷った場合は 64 bytes 以上を選ぶと扱いやすく安全です。短い単語や使い回しのパスワードは避けてください。
JWT_SECRET と NextAuth Secret の違い
JWT_SECRET は一般的な JWT 向け、NextAuth Secret は NextAuth.js / Auth.js 向けです。用途が異なるため別々に管理するのがおすすめです。
安全に使うための注意点
生成されたシークレットはこのブラウザ内でのみ作成されます。公開リポジトリにコミットせず、.env.local や本番環境の環境変数に保存してください。開発環境と本番環境では別の値を使うことをおすすめします。
よくある質問
JWT シークレットは何文字必要ですか?
本番環境では 64 bytes 程度のランダムな値を推奨します。
JWT シークレットに記号を含めてもよいですか?
使用できますが、Base64URL のほうが .env で扱いやすくおすすめです。
生成したシークレットはサーバーに送信されますか?
いいえ。このツールはブラウザ上で生成し、値はサーバーに送信しません。
JWT_SECRET と ACCESS_TOKEN_SECRET は分けるべきですか?
アクセストークンとリフレッシュトークンを分けるなら、シークレットも分けることをおすすめします。
ツール一覧を見る
ツール一覧ページで、他の生成ツールを比較したり切り替えたりできます。
安全性
送信なし
入力した値はサーバーへ送信されません。
保存なし
再読み込みすると入力と結果は消えます。