JWT トークンデコーダー・インスペクター
Loading...
Loading JWT...
説明
JSON Web Tokenをデコードし、秘密鍵なしでヘッダー、ペイロード、署名を確認。認証フローのデバッグに最適。
概要: JWT トークンデコーダー・インスペクター
JWT デコーダーは、JSON Web Token をヘッダー、ペイロード、署名の 3 つの部分に分割し、Base64URL のセグメントをデコードして、クレームをプレーンな JSON として読めるようにします。JWT のデコードに検証は不要なため、処理は完全にブラウザー内で行われ、秘密鍵を必要としません。認証フローのデバッグ、トークンの有効期限の確認、サービスが発行したクレームの確認に使用できます。
使い方
- JWT(長い xxxxx.yyyyy.zzzzz 形式の文字列)を入力欄に貼り付けます。
- ヘッダー(アルゴリズムとトークンタイプ)とペイロード(クレーム)がデコードされ、整形された JSON として表示されます。
- exp(有効期限)、iat(発行日時)、iss(発行者)、sub(サブジェクト)などの標準クレームを確認します。
- 署名セグメントは表示されますが検証はされません。検証には署名鍵が必要です。
よくある質問
JWT のデコードに秘密鍵は必要ですか?
いいえ。ヘッダーとペイロードは Base64URL でエンコードされているだけで暗号化されていないため、誰でもデコードして読めます。秘密鍵は署名を検証するためにのみ必要で、これによってトークンが改ざんされていないことを証明できます。
ここにトークンを貼り付けても安全ですか?
デコードは完全にブラウザー内で行われ、何もアップロードされません。とはいえ、実際のアクセストークンは秘密情報として扱い、自分が管理していないツールに本番のトークンを貼り付けることは避けてください。
なぜトークンが期限切れと表示されるのですか?
exp クレームは Unix タイムスタンプです。それが現在時刻より前であれば、トークンは期限切れであり、ここでは正常にデコードできても、ほとんどのサーバーは拒否します。
ここで暗号化された JWE を読めますか?
いいえ。このツールは署名付き JWT(JWS)をデコードします。暗号化されたトークン(JWE)には復号鍵が必要で、デコードだけでは人間が読める形にはなりません。