JWT デコーダー
JSON Web トークンのヘッダーとペイロードをデコードします (署名の検証は行いません)
JWT とは何ですか?
JSON Web トークンは、ドットで区切られた3つの Base64URL エンコードされた部分から成ります:ヘッダー (使用されるアルゴリズム)、ペイロード (クレーム — 通常はユーザー ID、期限、スコープ)、および署名。ヘッダーとペイロードは暗号化されておらず、単にエンコードされています — トークンを持っている人は誰でもそれらを読むことができます。署名はトークンが改ざんされていないことを証明します。
デコーダーは3つの部分を分割し、最初の2つを Base64URL デコードし、JSON を整形表示します。署名の検証は行いません — それには発行サーバーの秘密鍵または公開鍵が必要です。信頼できないデコーダーに本番トークンを貼り付けないでください;このデコーダーはブラウザ専用で決してアップロードしませんが、習慣としてテストには自分の開発環境からのトークンを使用してください。
使用例
- サードパーティの JWT を監査 — 認証ヘッダーを貼り付けて、リモートデバッガーを信頼せずにヘッダーとペイロードを読み取ります。
- 認証失敗のデバッグ — 401 が発生したときに、exp / iat / aud クレームがバックエンドの期待と一致するか確認します。
- OAuth / OIDC トークンを検査 — Google、Auth0、または Okta から返されたアクセスまたは ID トークンをデコードしてユーザーのクレームを確認します。
- JWT 構造を教える — 学生に3つの Base64 セグメントと、署名がペイロードを保護するが暗号化しない方法を示します。
例
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyXzEiLCJleHAiOjE3MDAwMDAwMDB9.signatureHeader:
{"alg": "HS256"}
Payload:
{"sub": "user_1", "exp": 1700000000}よくある質問
デコーダーは署名を検証しますか?
いいえ — 検証にはトークンに署名するために使用された秘密鍵 (HS256) または公開鍵 (RS256) が必要です。デコーダーは内部の内容を表示するだけで、信頼はサーバー側の検証から来ます。
JWT の内容は暗号化されていますか?
いいえ、単に Base64 エンコードされています。トークンを持っている誰でもクレームを読むことができます。クレームを機密にする必要がある場合は、JWE (暗号化された JWT) を使用してください。
`exp` クレームは何を意味しますか?
トークンが期限切れになる Unix タイムスタンプ。`exp` を過ぎたトークンはサーバーによって拒否されるべきです。デコーダーは期限切れのトークンをフラグ付けします。
不正なトークンをデコードできますか?
部分が Base64 デコードまたは JSON として解析できない場合、デコーダーは問題のある部分を指摘するエラーを表示します。
私のトークンはアップロードされますか?
いいえ。デコードは純粋な JavaScript です — あなたのトークンはデバイスに留まります。