JWTトークン

デコード結果

JWTトークンを貼り付けるとデコードできます

JWTデコーダーについて

JSON Web Tokenをデコードし、ヘッダー、ペイロード、署名を確認できます。有効期限の状態を検出し、署名アルゴリズムを識別し、登録済みclaimsを説明します。処理はすべてブラウザ内で行われます。

貼り付け時にリアルタイムデコード
トークン部分を色分け表示
有効期限ステータスを確認
登録済みclaimの説明

JSON Web Token(JWT)の完全ガイド

無料オンラインJWTデコーダー & 検査ツール

この無料オンラインJWTデコーダーで、JSON Web Tokenをすぐにデコードして確認できます。JOSEヘッダー、ペイロードclaims、有効期限、署名アルゴリズムを表示します。認証、認可、APIトークン、OAuth 2.0、OpenID Connectフローに役立ちます。

主な機能

ヘッダー検査

  • HS256やRS256などの署名アルゴリズムを表示
  • トークンタイプを識別
  • キーID(kid)を表示
  • 一般的なJOSEヘッダーフィールドを説明

ペイロードデコード

  • すべてのclaimsを説明付きで表示
  • タイムスタンプを読みやすい日時へ変換
  • iss、sub、aud、expなどの登録済みclaimsを識別
  • カスタムclaimsを表示

有効期限チェック

  • 有効期限を自動検出
  • 期限切れ / 期限内バッジ
  • 読みやすい期限時刻
  • iatとnbfタイムスタンプをデコード

色分け表示

  • ヘッダーをピンクで強調
  • ペイロードを紫で強調
  • 署名をシアンで強調
  • JWTの各部分を視覚的に分離

JWTとは?

JSON Web Token(JWT)は、2者間でclaimsをやり取りするためのコンパクトでURLセーフな形式です。RFC 7519で定義されており、Webアプリ、API、マイクロサービスの認証と認可で広く使われています。

JWTの構造:

ヘッダー: 署名アルゴリズムやトークンタイプなど、トークンに関するメタデータです。

ペイロード: ユーザーや主体に関するclaimsと、トークンのメタデータです。

署名: エンコードされたヘッダーとペイロードを秘密鍵または秘密キーで署名して作られる値です。

登録済みJWT Claims

iss: Issuer。JWTの発行者を示します。

sub: Subject。通常はトークンの対象となるユーザーまたは主体を示します。

aud: Audience。トークンの受信者を示します。

exp: Expiration。これ以降はトークンを受け入れてはいけない時刻です。

nbf: Not Before。これより前はトークンを受け入れてはいけない時刻です。

iat: Issued At。トークンが発行された時刻です。

jti: 一意なトークンID。リプレイ対策に役立ちます。

一般的な署名アルゴリズム

HS256: SHA-256を使うHMACです。署名と検証に1つの共有秘密キーを使います。

RS256: SHA-256を使うRSAです。秘密鍵で署名し、公開鍵で検証します。

ES256: P-256とSHA-256を使うECDSAです。楕円曲線により短い署名を使えます。

PS256: SHA-256を使うRSA-PSSです。確率的パディングを持つより強いRSA署名方式です。

JWTデコーダーの使い方

  1. JWTを貼り付け: JWTトークンを入力欄へコピーして貼り付けます。デコードは自動的に始まります。
  2. ヘッダーを確認: Headerタブでアルゴリズム、トークンタイプ、キーIDを確認します。
  3. ペイロードを確認: Payloadタブですべてのclaimsと読みやすい説明を確認します。
  4. 有効期限を確認: ツールがトークンの期限切れ状態を確認します。
  5. 署名を確認: Signatureタブで生の署名とアルゴリズム情報を確認します。
  6. セクションをコピー: コピー ボタンでデコード済みセクションを整形済みJSONとしてコピーできます。

JWTのよくある用途

認証: ログイン後にサーバーがJWTを発行し、クライアントは以後のリクエストで本人確認のために送信します。

認可: JWTにはロールや権限を含めることができ、APIがアクセス判断に利用できます。

シングルサインオン: JWTは中央のIDプロバイダーを通じて複数サービス間で認証状態を共有するのに役立ちます。

APIセキュリティ: ステートレスJWT認証はREST、GraphQL、マイクロサービス、サーバーレスでよく使われます。

OAuth 2.0 / OpenID Connect: JWTはアクセストークン、IDトークン、ときにはリフレッシュトークンとして使われます。

こんな人に最適

  • バックエンド開発者
  • フロントエンド開発者
  • API開発者
  • セキュリティエンジニア
  • DevOpsエンジニア
  • QA・テストチーム
  • モバイルアプリ開発者
  • マイクロサービス設計者
  • ID・アクセス管理担当者
  • 認証を学ぶ学生
  • テクニカルサポートチーム
  • セキュリティ監査担当者

JWTセキュリティのベストプラクティス

  • サーバー側で必ず署名を検証する。
  • 短い有効期限のトークンと、必要に応じてリフレッシュトークンを使う。
  • 本番環境ではRS256やES256などの強いアルゴリズムを優先する。
  • サーバー側でiss、aud、exp、nbf claimsを検証する。
  • JWTペイロードは暗号化ではなくエンコードなので、機密データを入れない。
  • トークンはHTTPS経由でのみ送信する。
  • WebアプリではhttpOnly cookieなど、安全な場所にトークンを保存する。
  • 短い有効期限、リフレッシュローテーション、deny listなどでトークン失効を計画する。

完全なプライバシー保護

すべてのJWTデコードはJavaScriptを使ってブラウザ内で行われます。トークンがアップロード、保存、記録、第三者へ送信されることはありません。

JWTの基礎を学ぶ

JSON Web Tokenが初めてですか?トークン構造、claims、署名、セキュリティのベストプラクティスを解説した初心者向けガイドをご覧ください。

読む: JWTとは?

関連する開発者ツール

JSONフォーマッター

JSONデータを整形、検証、美しく表示できます。デコード済みJWTペイロードの確認に最適です。

64

Base64エンコーダー

Base64文字列をエンコード・デコードできます。JWTはヘッダーとペイロードにBase64URLエンコードを使います。

#

ハッシュ生成ツール

整合性確認や署名ワークフローの比較に使うハッシュを生成できます。

パスワード生成ツール

JWT署名やアプリ認証情報向けの強力なsecretを生成できます。

タイムスタンプ変換

JWTのexp、iat、nbf claimsで使われるUnixタイムスタンプを変換できます。

UUID

UUID生成ツール

JWT ID、jti claims、一意なアプリ識別子向けのUUIDを生成できます。