JWTデコーダー&検証ツール
JSON Web TokenをデコードしてHS256、RS256、ES256、EdDSAの署名をWeb Crypto APIを使用してブラウザ内で検証します。
ヘッダー
上にトークンを貼り付けてデコードします。
ペイロード
上にトークンを貼り付けてデコードします。
クレームの概要
上にトークンを貼り付けてデコードします。
署名検証
シークレットまたは公開鍵を貼り付けて検証します。
使い方
JWTデコーダー(JSON Web Token)は、サーバー側で署名を検証せずに、JWTトークンのヘッダー・ペイロード・署名をデコードして表示します。
使い方:
- JWTトークン(xxxxx.yyyyy.zzzzzの形式)を入力フィールドに貼り付けます。
- ツールがデコードされたヘッダーとペイロードを読みやすいJSON形式で表示します。
- 署名は表示されますが検証されません(秘密鍵が必要)。
例:ログイン用JWTトークン → ユーザーID・役割・有効期限が表示されます。
制限事項:署名の検証は行われません。サーバー側での検証なしにJWTの内容を信頼しないでください。安全でないデバイスで機密データを含むトークンをデコードしないでください。
プライバシー:デコードは完全にローカルで行われます。
活用シーン
- Webまたはモバイルアプリでトークンにどのクレームがあるかを調べて認証バグをデバッグする
- 期限切れまたは改ざんされたトークンが承認ロジックで正しく拒否されることを確認する
- アイデンティティプロバイダが正しい鍵とアルゴリズムでトークンに署名していることを確認する
- 実例でJWTの構造、クレーム、よくあるミス (alg none、鍵の取り違え、exp欠落) を教える
- ダウンストリームサービスでトークンが拒否される本番障害の迅速な切り分け
よくある質問
- デコーダーは署名を検証しますか?
- いいえ、デコードされたデータのみを表示します。検証にはサーバー側の秘密鍵が必要です。
- JWTをデコードするのは危険ですか?
- いいえ、データはBase64エンコードされているだけで、暗号化されていません。誰でも読めます。
- ペイロードには何が含まれますか?
- 通常、ユーザーID・役割・有効期限・その他のクレームが含まれます。
- ペイロードのexpとは何ですか?
- Unixタイムスタンプ形式のトークン有効期限です。
- トークンはサーバーに送信されますか?
- いいえ、デコードは完全にローカルです。