JWT デコーダー

JSON Web Tokenのデコード、検証、編集

サンプル読み込み:

How to Use This Tool

1

モードの選択

既存のJWTを分析するには「トークンデコード」、新しいトークンを生成するには「トークン作成」を選択してください。

2

JWTトークンのデコード

任意のJWTトークンを貼り付けて、ヘッダー、ペイロード、署名を表示します。ツールが有効期限と構造を検証します。

3

JWTトークンの作成

ヘッダーとペイロードのJSONを編集してカスタムトークンを作成します。クイックアクションを使用してタイムスタンプを設定します。

4

トークンステータスの理解

色分けされたインジケーターが、時間クレームに基づいてトークンが有効、期限切れ、またはまだ有効でないかを表示します。

5

デコードデータのコピー

個別のセクション(ヘッダー、ペイロード)を抽出するか、デコードされたJSON全体をコピーしてさらなる使用に備えます。

Pro Tips

  • JWTトークンはドットで区切られた3つの部分から構成されます:header.payload.signature
  • 時間ベースのクレーム(iat、exp、nbf)はUnixタイムスタンプ(エポックからの秒数)を使用します
  • ツールはすべてのタイムスタンプクレームに対して人間が読みやすい日付を表示します
  • 作成されたトークンは未署名(alg: none)です - 本番環境では適切な署名を使用してください
  • 'iss'(発行者)や'sub'(主体)などの標準クレームには特別な意味があります
  • サンプルトークンを読み込んで、異なるJWT構造とクレームの例を確認できます

JWTデコーダーとは?

JWT(JSON Web Token)デコーダーは、JSON Web Tokenを解析し、検証し、その構造と内容を明らかにするツールです。JWTは、JSONオブジェクトとしてパーティ間で情報を安全に伝送するために使用されるコンパクトでURL安全なトークンです。私たちのJWTデコーダーはトークンをデコードするだけでなく、その構造を検証し、有効期限をチェックし、テスト用の新しいトークンを作成することもできます。JWT構造の理解は、現代のWebアプリケーションで安全な認証と許可を実装するために不可欠です。

Key Features

任意のJWTトークンをデコードしてヘッダー、ペイロード、署名を表示

有効期限チェック付きのリアルタイムトークン検証

テストと開発用の未署名JWTトークン作成

すべての標準JWTアルゴリズム(HS256、RS256、ES256など)をサポート

タイムスタンプの人間が読みやすい日付への自動変換

色分けされたトークンステータスインジケーター(有効、期限切れ、まだ有効でない)

標準時間クレーム(iat、exp、nbf)設定用のクイックアクション

個別セクションまたはデコードされたJSON全体のコピー

JWT構造学習用のサンプルトークン

プライバシー重視 - すべての処理がブラウザで実行

Common Use Cases

API認証デバッグ: APIレスポンスからトークンをデコードしてクレームを検証し、有効期限をチェックし、アプリケーションで認証が失敗する理由を理解します。

トークン開発とテスト: サーバーサイドのトークン生成を必要とせずに、開発環境用の特定のクレームと有効期限を持つテストトークンを作成します。

セキュリティ監査: JWTトークンを分析してペイロードに機密情報が含まれていないことを確認し、セキュリティ要件に適切なアルゴリズム使用を検証します。

モバイルアプリ開発: バックエンドサービスから受信したトークンをデコードして正しいユーザーデータと権限を検証し、モバイルアプリの認証フローをデバッグします。

マイクロサービスアーキテクチャ: サービス間で渡されるトークンを検証して適切なクレーム伝播を確保し、分散システムでの許可失敗を理解します。

サードパーティ統合: OAuthプロバイダーやパートナーAPIからのトークンをデコードして、共有されているデータを理解し、統合設定を検証します。

Frequently Asked Questions

JWTトークンの3つの部分とは何ですか?

JWTはドットで区切られた3つの部分から構成されます:1)ヘッダー - 署名アルゴリズムやトークンタイプなど、トークンに関するメタデータを含みます。2)ペイロード - エンティティに関するクレーム(データ)と有効期限などの追加メタデータを含みます。3)署名 - トークンが変更されていないことを確保し、送信者を検証します。各部分はBase64Urlエンコードされており、トークンをURL安全にします。

JWTトークンをデコードするのは安全ですか?

はい、JWTトークンのデコードは安全であり、実際に意図された動作です。JWTは受信者によってデコードされるように設計されており、暗号化されているのではなくエンコードされているだけです。セキュリティは、トークンが改ざんされていないことを検証する署名からもたらされます。ただし、誰でもデコードできるため、JWTペイロードにパスワードなどの機密情報を入れてはいけません。

JWT有効期限クレームの違いは何ですか?

JWTには3つの時間関連標準クレームがあります:'iat'(発行時刻)はトークンが作成された時を示し、'exp'(有効期限)はトークンが期限切れとなり、もはや受け入れられない時刻を指定し、'nbf'(有効開始時刻)はトークンが受け入れられない時刻を示します。すべてUnixタイムスタンプ(1970年1月1日UTCからの秒数)を使用します。

なぜこのツールは未署名トークンを作成するのですか?

セキュリティ上の理由から、このツールはテストと開発にのみ適した未署名トークン(alg: none)を作成します。適切に署名されたトークンを作成するには、HMACアルゴリズム用の秘密鍵やRSA/ECDSAアルゴリズム用の秘密鍵が必要ですが、これらはクライアントサイドツールでは公開されるべきではありません。本番使用では、安全なバックエンドサーバーでトークンを生成してください。

JWT標準クレームとは何ですか?

JWTは7つの標準クレームを定義しています:'iss'(発行者)はトークンを作成した者を識別し、'sub'(主体)はトークンの主体(通常はユーザー)を識別し、'aud'(対象者)は意図された受信者を識別し、'exp'(有効期限)はトークンの期限切れ時刻を設定し、'nbf'(有効開始時刻)はトークンが有効になる時刻を設定し、'iat'(発行時刻)は作成時刻を示し、'jti'(JWT ID)は一意識別子を提供します。アプリケーション固有のデータ用にカスタムクレームを追加することもできます。

JWT署名を検証するにはどうすればよいですか?

JWT署名検証には、トークンの署名に使用された秘密鍵(HMAC用)または公開鍵(RSA/ECDSA用)が必要です。このツールは署名を表示しますが、鍵なしでは検証できません。本番検証では、鍵を安全に保存し、攻撃を防ぐためのアルゴリズム検証を含む適切な検証ロジックを実装したサーバーサイドライブラリを使用してください。

Related Tools

Base64 デコーダー

より深い分析のためにBase64エンコードされたJWTセクションを個別にデコード

JSON フォーマッター

より良い可読性のためにJWTペイロードJSONをフォーマットし、検証

ハッシュジェネレーター

JWT署名検証用のハッシュ生成

UUID ジェネレーター

トークン追跡用の一意JWT ID(jti)生成

Related Content

JWT認証ガイド

現代アプリケーションでJWT認証を実装するための完全ガイド

APIテストベストプラクティス

JWT認証を使用するAPIのテスト方法を学びます