JSON Web TokenをデコードしてHS256、RS256、ES256、EdDSAの署名をWeb Crypto APIを使用してブラウザ内で検証します。

JWT token

Header

Paste a token above to decode.

Payload

Paste a token above to decode.

Claims summary

Paste a token above to decode.

Secret or public key

Signature verification

Paste a secret or public key to verify.

使い方

JSON Web Tokenを入力欄に貼り付けると、ツールは即座にBase64URLエンコードされた3つの部分 (ヘッダー、ペイロード、署名) に分割し、最初の2つをJSONにデコードして整形して表示します。iat、nbf、exp、iss、sub、audなどの標準クレームは読みやすい日付やラベルとして表示されるため、期限切れや未発効のトークンを一目で発見できます。署名を検証するには、署名シークレット (HS256/HS384/HS512用) またはPEMもしくはJWK形式の公開鍵 (RS256、ES256、ES384、ES512、またはEdDSA用) を貼り付けます。ツールはWeb Crypto APIを使用して header.payload に対する署名を再計算し、定数時間で署名セグメントと比較します — 緑のバッジはトークンが正当であることを、赤のバッジは署名が無効であるか誤った鍵が使われたことを意味します。トークン、シークレット、鍵はブラウザから出ず、すべてローカルで動作します。

活用シーン

Webまたはモバイルアプリでトークンにどのクレームがあるかを調べて認証バグをデバッグする

期限切れまたは改ざんされたトークンが承認ロジックで正しく拒否されることを確認する

アイデンティティプロバイダが正しい鍵とアルゴリズムでトークンに署名していることを確認する

実例でJWTの構造、クレーム、よくあるミス (alg none、鍵の取り違え、exp欠落) を教える

ダウンストリームサービスでトークンが拒否される本番障害の迅速な切り分け