JWTデコーダー

JSON Webトークンを即座にデコード＆検査

JWTデコーダーは、JSON Web Token（JWT）をデコード、パース、検査するための無料オンラインツールです。トークンのヘッダー、ペイロード、署名、クレームを即座に表示。OAuth 2.0、OpenID Connect、モダンWebアプリケーションで使用される認証・認可トークンをデバッグできます。完全にブラウザ内で動作し、プライバシーを保護 - トークンがサーバーに送信されることはありません。

JWTデコーダーの使い方

JWTトークンのデコードはシンプルで即座に完了します：

ステップ1: JWTトークンを貼り付け
入力フィールドに完全なJWTトークンを貼り付けてください。JWTトークンは通常'eyJ'で始まり、ドット（.）で区切られた3つの部分（header.payload.signature）で構成されています。
ステップ2: 自動デコード
トークンはリアルタイムで自動的にデコードおよびパースされます。ボタンをクリックする必要はありません - 貼り付けると同時に結果が即座に表示されます。
ステップ3: トークンの各部分を検査
デコードされたヘッダー（アルゴリズム、タイプ）、ペイロード（クレーム、有効期限、発行日時）、署名を表示します。各部分は読みやすくデバッグしやすいようにフォーマットされたJSONで表示されます。

すべてのJWTデコードおよびパースはJavaScriptを使用してブラウザ内でローカルに実行されます。トークンがデバイスから外部に送信されることはなく、サーバーに送信されることもないため、完全なプライバシーとセキュリティが保証されます。

JWTデコーダーツール

JWTトークン入力

活用シーン

usecases.intro

API認証のデバッグ

認証エラーでAPIリクエストが失敗した場合、JWTをデコードして有効期限、発行者、対象者のクレームを確認し、根本原因を特定します。

セキュリティ監査

アプリケーションで使用されているJWTを検査し、ペイロードに機密データが露出していないか、適切なアルゴリズムが使用されているかを確認します。

開発・テスト

開発中に、生成されたトークンに正しいクレーム、ロール、権限が含まれているかを統合テスト前に素早く確認できます。

トークン有効期限の分析

'exp'と'iat'クレームを確認して、トークンの有効期間を把握し、アプリケーションのセッションタイムアウト問題をトラブルシューティングします。

JWT構造の学習

JWTを初めて学ぶ学生や開発者が、3つの部分（ヘッダー、ペイロード、署名）の構造を視覚的に理解し、トークンベース認証の仕組みを学べます。

JWT（JSON Web Token）とは？

JWT（JSON Web Token）は、JSON オブジェクトとして当事者間で情報を安全に送信するためのオープン標準（RFC 7519）です。コンパクトでURL安全であり、現代のWebアプリケーションにおける認証と情報交換で広く使用されています。

3つの部分で構成

JWTはドットで区切られた3つの部分で構成されます：ヘッダー（アルゴリズムとトークンタイプ）、ペイロード（クレームとデータ）、署名（検証用ハッシュ）。各部分は安全な送信のためにBase64URLエンコードされています。

主な用途

JWTは主に認証（ログインセッション）、認可（アクセス制御）、サービス間の安全な情報交換に使用されます。ステートレスなため、サーバー側のセッションストレージが不要です。

セキュリティ上の注意点

JWTは改ざん防止のために署名されていますが、ペイロードはエンコードされているだけで暗号化されていません。パスワードなどの機密データをJWTに保存しないでください。常にサーバー側で署名を検証し、送信にはHTTPSを使用してください。

よくある質問（FAQ）

JWTのデコードと検証の違いは何ですか？

デコードとは、Base64Urlデコードを使用してトークンからヘッダーとペイロードを抽出して読み取ることを意味します - これは誰でもできます。検証とは、トークンが改ざんされていないことを確認するために署名をチェックすることを意味します - これには秘密鍵または公開鍵が必要です。私たちのツールはトークンをデコードするだけです。署名検証は安全なサーバーで行う必要があります。

ここにJWTトークンを貼り付けても安全ですか？

私たちのツールはブラウザ内で完全にトークンを処理します - サーバーには何も送信されません。ただし、本番環境トークンには依然として注意が必要です。最大限のセキュリティのために、テスト/開発トークンのみを使用するか、Webページをローカルに保存してオフラインでこのツールを使用してください。

なぜJWTは'eyJ'で始まるのですか？

すべてのJWTは'eyJ'で始まります。これは、ヘッダーJSON（通常は{"alg":"HS256","typ":"JWT"}）が'{"'で始まり、これがBase64Urlエンコードされると'eyJ'になるためです。これは文字列がJWTトークンであることを示す信頼できる指標です。

このツールはJWT署名を検証できますか？

いいえ、署名検証には秘密鍵（HMACアルゴリズム）または公開鍵（RSA/ECDSAアルゴリズム）が必要です。これらの鍵をオンラインツールに入力することは深刻なセキュリティリスクとなります。常に信頼できるライブラリを使用して自身の安全なサーバーで署名を検証してください。

ペイロードの'exp'は何を意味しますか？

'exp'（有効期限）クレームは、トークンが期限切れになるUnixタイムスタンプを示します。トークンはこの時刻以降に拒否される必要があります。例えば、'exp': 1735689600は、トークンが2025年1月1日00:00:00 UTCに期限切れになることを意味します。

トークンに2つではなく3つのドットがあります。これは有効ですか？

標準JWTには、3つの部分（header.payload.signature）を区切る正確に2つのドットがあります。追加のドットは、トークンが不正な形式、二重エンコード、または標準JWTではない可能性を示しています。トークン生成コードを確認してください。

このツールはOAuth 2.0トークンに使用できますか？

はい！OAuth 2.0アクセストークンとIDトークン（OpenID Connectから）は多くの場合JWTです。デコードすることで、ユーザー情報、スコープ、有効期限、その他のクレームを表示できます。ただし、一部のOAuthプロバイダーはopaque token（ランダム文字列）を使用しており、これはデコードできません。

'none'アルゴリズムとは何ですか？なぜ危険なのですか？

'none'アルゴリズムは、トークンに署名がないことを意味します。サーバーが'alg': 'none'のトークンを受け入れると、攻撃者は任意のクレームを持つヘッダー/ペイロードを作成し、署名なしでトークンを偽造できます。安全なシステムは常に'none'アルゴリズムのトークンを拒否すべきです。