JWTデコーダー
JSON Web Tokenを貼り付けてヘッダーとペイロードを確認。デコーダーはブラウザ内で動作し、トークンは端末から外に出ません。
APIのデバッグ、OAuthやOpenIDのトークン確認、アクセストークンのclaim確認に便利です。
ヘッダー
Decoded header will appear here.
ペイロード
Decoded payload will appear here.
クレームのサマリー
Time-based claims (exp, iat, nbf) will appear here with readable dates.
デコードのみ — 署名検証なし
このツールはトークンのヘッダーとペイロードのみをデコードします。署名は検証しません。検証にはシークレットまたは公開鍵が必要で、ブラウザ上で行う意味はありません — ここに貼り付けたものは既にユーザーに公開されています。結果はあくまで参考としてください。
JWTとは?
JSON Web Token (RFC 7519) は、ドットで区切られた3つのBase64urlセクションで構成されるコンパクトな文字列です: header.payload.signature。ヘッダーは署名アルゴリズムを示し、ペイロードはclaimを運び、署名によりサーバーはトークンが改ざんされていないことを示せます。
例
A minimal HS256 token with a single sub claim:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIn0.dozjgNryP4J3jVmNHl0w5N_XgL0n3I9PlFUP0THsR8U
よくある質問
このツールは署名を検証しますか?
いいえ。ヘッダーとペイロードのみをデコードします。署名検証にはシークレットまたは公開鍵が必要で、ブラウザではなく信頼できるサーバーで行う必要があります。
トークンはサーバーに送信されますか?
いいえ。デコーダーは完全にブラウザ内で動作します。トークンはローカルで解析され、デバイスから外に出ません。
exp、iat、nbfとは何ですか?
標準の登録claimです: iatは発行時刻、nbfは「これより前は無効」の時刻、expは有効期限の時刻です。3つすべて秒単位のUnixタイムスタンプです。
Base64の文字が通常のBase64と違うのはなぜ?
JWTはBase64urlを使い、+を-に、/を_に置き換え、=のパディングを除きます。デコーダーはこれを自動で処理します。