JWT トークンデコーダー・インスペクター

Blog

JWT トークンデコーダー・インスペクター

BlogCheatsheets
Loading...
Loading JWT...

説明

JSON Web Tokenをデコードし、秘密鍵なしでヘッダー、ペイロード、署名を確認。認証フローのデバッグに最適。

概要: JWT トークンデコーダー・インスペクター

JWT デコーダーは、JSON Web Token をヘッダー、ペイロード、署名の 3 つの部分に分割し、Base64URL のセグメントをデコードして、クレームをプレーンな JSON として読めるようにします。JWT のデコードに検証は不要なため、処理は完全にブラウザー内で行われ、秘密鍵を必要としません。認証フローのデバッグ、トークンの有効期限の確認、サービスが発行したクレームの確認に使用できます。

使い方

  1. JWT(長い xxxxx.yyyyy.zzzzz 形式の文字列)を入力欄に貼り付けます。
  2. ヘッダー(アルゴリズムとトークンタイプ)とペイロード(クレーム)がデコードされ、整形された JSON として表示されます。
  3. exp(有効期限)、iat(発行日時)、iss(発行者)、sub(サブジェクト)などの標準クレームを確認します。
  4. 署名セグメントは表示されますが検証はされません。検証には署名鍵が必要です。

よくある質問

JWT のデコードに秘密鍵は必要ですか?

いいえ。ヘッダーとペイロードは Base64URL でエンコードされているだけで暗号化されていないため、誰でもデコードして読めます。秘密鍵は署名を検証するためにのみ必要で、これによってトークンが改ざんされていないことを証明できます。

ここにトークンを貼り付けても安全ですか?

デコードは完全にブラウザー内で行われ、何もアップロードされません。とはいえ、実際のアクセストークンは秘密情報として扱い、自分が管理していないツールに本番のトークンを貼り付けることは避けてください。

なぜトークンが期限切れと表示されるのですか?

exp クレームは Unix タイムスタンプです。それが現在時刻より前であれば、トークンは期限切れであり、ここでは正常にデコードできても、ほとんどのサーバーは拒否します。

ここで暗号化された JWE を読めますか?

いいえ。このツールは署名付き JWT(JWS)をデコードします。暗号化されたトークン(JWE)には復号鍵が必要で、デコードだけでは人間が読める形にはなりません。