🔓 JWTデコーダー

オンラインでJSON Web Token（JWT）をデコードして検証します。

5.0 / 5 (1 評価)

220 回使用 (30d)

JWT トークンを入力

トークン情報

長さ

0

Headerサイズ

0 B

Payloadサイズ

0 B

署名サイズ

0 B

Header

Payload

Signature

JWT について

✓ JWT（JSON Web Token）はネットワーク上で情報を安全に転送するオープン標準

✓ Header、Payload、Signatureの3部で構成

✓ 認証と認可（API認証）に通常使用

✓ このツールはJWTをデコードしますが署名は検証しません

✓ JWTトークンを貼り付けると自動的にデコードされます

✓ Copyをクリックして素早くコピー

Error:

使い方

機能

✓ JWTトークンをデコード
✓ ヘッダーとペイロードを表示
✓ 署名を検証
✓ HS256/RS256サポート
✓ トークン検証

ステップ

JWTトークンを貼り付け
トークンが自動的にデコード
ヘッダーとペイロードを個別に表示
署名を検証(オプション)
デコードされた部分をコピー

📚 完全ガイド

JWTデコーダーとは

JWTデコーダーは、JSON Web Token（JWT）をオンラインで簡単に解析・検証するためのウェブツールです。JWTは、情報をコンパクトで自己完結型の形式で安全に伝達するために広く使用される標準規格です。このツールは、暗号化された文字列のように見えるJWTを入力すると、その中身を人間が読める形にデコード（解読）し、ヘッダー、ペイロード、署名の各セクションを明確に表示します。開発者、システム管理者、セキュリティ担当者が、トークンの内容を確認したり、デバッグしたり、学習目的で利用するのに最適です。

このツールの目的

このオンラインツールの主な目的は、JWTの扱いを簡素化し、アクセスしやすくすることです。コードを書いたり、複雑なコマンドラインツールをセットアップしたりすることなく、ブラウザ上で即座にトークンの内容を確認できます。具体的には以下の目的で使用されます。

開発デバッグ: APIやアプリケーション開発中に、生成されたJWTの内容が正しいか素早く確認する。
内容の検証: トークンに含まれるクレーム（ユーザーID、有効期限、権限など）を視覚的に検査する。
学習と教育: JWTの構造や仕組みを理解するための実践的な教材として利用する。
トラブルシューティング: 認証・認可に関する問題が発生した際に、トークン自体に問題がないか最初に確認する。

主な機能

当ツールは、ユーザーフレンドリーなインターフェースで、以下の核心的な機能を提供します。

トークンのデコード: JWT文字列を貼り付けると、自動的にヘッダー（アルゴリズムやトークンタイプ）とペイロード（データ本体）をJSON形式で整形して表示します。
セクションごとの明確な表示: ヘッダー、ペイロード、署名の3つの部分を視覚的に区切り、それぞれの内容を個別に展開して閲覧できます。
クレームの解釈: ペイロード内の標準クレーム（例: "exp"有効期限、"iat"発行時間）を、一般的なタイムスタンプ形式（UTCなど）に変換して読みやすく表示します。
安全性への配慮: すべての処理はユーザーのブラウザ内で完結します。トークンが外部のサーバーに送信されることはなく、機密性の高いトークンを安全に検査できます。
即時フィードバック: 無効な形式のJWTを入力した場合、即座にエラーメッセージが表示され、問題の特定を助けます。

JWTデコーダーを使用する理由

デバッグと開発の効率化
認証フロー開発中、バックエンドから受け取ったJWTトークンのペイロード（クレーム）を即座に可視化。有効期限やユーザーロールを確認でき、問題の早期発見と修正が可能です。
セキュアなクライアントサイド情報アクセス
署名検証済みのトークンから、ユーザーIDや表示名などを安全に抽出。例えば、ダッシュボードのUIに「ようこそ、[ユーザー名]さん」と表示するようなケースで活用できます。
APIレスポンスの迅速な理解
外部APIやマイクロサービスからJWT形式でデータが返される場合、その内容を手軽に解読。ペイロードに含まれる許可範囲(scope)や発行者(iss)を確認し、統合作業をスムーズにします。
教育と学習ツールとして
JWTの構造（ヘッダー、ペイロード、署名）を実際のトークンで学ぶ際に最適。セキュリティ講座や新入社員研修で、トークン内容を視覚的に理解する助けとなります。
サードパーティ連携時の検証
OAuth連携（GoogleやFacebookログインなど）で取得したIDトークンの内容を確認。想定通りのユーザー情報が含まれているか、連携設定が正しいかを事前にチェックできます。
トラブルシューティングと監査
本番環境で発生した認証エラーのログに記録されたJWTを解読。トークンの有効期限切れや、クレームの不備など、問題の根本原因を特定する際に役立ちます。

トークンの検証はデコードとは異なります

JWTデコーダーツールは、トークンの構造を解読し内容を表示しますが、署名の検証は行いません。本番環境では、必ず信頼できるライブラリ（例：jsonwebtoken for Node.js）を使用して署名を検証し、改ざんされていないことを確認してください。デコードはあくまで内容の確認やデバッグのための手段です。

機密情報をペイロードに含めない

JWTのペイロードは、署名されていても暗号化されていないため、誰でもデコードして内容を閲覧できます。パスワード、クレジットカード番号、秘密鍵などの機密情報をペイロードに格納することは絶対に避けてください。ユーザーIDや権限（スコープ）など、最小限の必要な情報に留めましょう。

有効期限（exp）と発行時刻（iat）を活用する

セキュリティを強化するために、トークンには必ず有効期限（expクレーム）を設定してください。また、発行時刻（iat）を記録することで、トークンの新旧を管理できます。ベストプラクティスとして、アクセストークンの有効期限は短く（例：15分〜1時間）、リフレッシュトークンを用いて更新する方式を採用します。

exp (Expiration Time): トークンの失効時刻。これを過ぎたトークンは無効として拒否します。
nbf (Not Before): トークンの有効開始時刻。この時刻以前のトークンは受け入れません。
iat (Issued At): トークンが発行された時刻。セッション管理に有用です。

アルゴリズム（alg）の指定を明示的に行う

JWTヘッダー内の「alg」クレームは、使用された署名アルゴリズムを示します。「none」アルゴリズムや弱いアルゴリズム（例：HS256よりRS256を推奨）を許可しないようにサーバー側で設定することが重要です。アルゴリズムを検証せずに受け入れると、「アルゴリズム切り替え攻撃」のリスクがあります。

デコード結果を基にしたクレームのカスタマイズ

標準クレーム（exp, sub, issなど）に加え、アプリケーションに必要なカスタムクレームを追加することで、効率的な権限管理が可能です。例えば、ユーザーの役割（role）やアクセス可能な機能（permissions）を配列で含める方法があります。ただし、トークンサイズが肥大化しないよう注意してください。

トークンの保存と送信は慎重に

フロントエンドでJWTを扱う場合、その保存方法には細心の注意が必要です。ローカルストレージはXSS攻撃に対して脆弱です。可能な限り、HttpOnly Cookieに保存することを検討してください。また、Authorizationヘッダーを使用してトークンを送信する際は、「Bearer」スキームを正しく使用します（例：Authorization: Bearer <token>）。

デバッグと開発時の活用

このデコーダーツールは、開発中にトークンが正しく生成されているか、期待通りのクレームを含んでいるかを素早く確認するのに最適です。APIリクエストの前後にトークンをデコードし、有効期限やユーザーコンテキストを視覚的に確認する習慣をつけましょう。

JWTデコーダーとは何ですか？

JWTデコーダーは、JSON Web Token（JWT）をデコードし、その中身を人間が読める形式で表示するオンラインツールです。JWTは「ヘッダー」「ペイロード」「署名」の3つの部分から構成されており、このツールを使用すると、エンコードされた文字列を入力するだけで、各セクションの詳細（アルゴリズムや有効期限などのクレーム）を即座に解析・表示できます。開発者がトークンの内容を確認し、デバッグする際に非常に便利です。

JWTデコーダーはトークンを検証しますか？

いいえ、ほとんどのオンラインJWTデコーダーは検証（署名の検証）を行いません。これらのツールは主に、エンコードされたJWT文字列をデコードしてその内容を表示することを目的としています。署名を検証するには、トークンの発行者が使用した秘密鍵または公開鍵が必要です。セキュリティ上、オンラインツールに秘密鍵を入力すべきではないため、署名の検証はご自身の安全なバックエンド環境で行う必要があります。

JWTの「署名」部分はどうなりますか？

JWTデコーダーは署名そのものをデコードしたり、表示したりすることはありません。署名は、トークンが改ざんされていないことを保証するための暗号化された部分です。ツールは通常、署名部分が存在することを示し、その文字列を表示する場合がありますが、それはデコードされた内容ではなく、元のエンコードされた文字列です。署名の整合性を確認するには、別途検証プロセスが必要です。

このツールを使用するのは安全ですか？

機密情報を含むJWT（例：本番環境のアクセストークン、秘密鍵など）をオンラインツールに入力するのは避けるべきです。デコードプロセス自体は通常クライアント側（ご自身のブラウザ内）で実行されるため安全ですが、インターネット経由でデータが送信されるリスクを完全には排除できません。デバッグには、本番環境以外のテスト用トークンを使用するか、ローカルで動作するオフラインツールの利用を推奨します。

「Invalid token」エラーが表示されます。なぜですか？

このエラーは、入力された文字列が正しいJWTフォーマット（Base64Urlエンコードされた3つの部分がピリオドで区切られている）に従っていない場合に発生します。考えられる原因は以下の通りです：トークンが不完全にコピーされている、余分な空白が含まれている、フォーマットが壊れている、またはそもそもJWTではない文字列を入力している。JWTは通常、「xxxxx.yyyyy.zzzzz」のような形式であることをご確認ください。

デコードされたクレームの「exp」や「iat」とは何ですか？

これらはJWTの標準クレーム（予約済みクレーム）です。「exp」はトークンの有効期限（Expiration Time）を、「iat」はトークンが発行された時刻（Issued At）を表すUnixタイムスタンプ（1970年1月1日からの秒数）です。ツールによっては、これらの数値が自動的に人間が読める日時形式に変換されて表示されます。その他にも、「iss」（発行者）や「sub」（主体）などの標準クレームが存在します。

JWTをデコードした後、情報を編集して再エンコードできますか？

当ツールはデコードと表示のみを目的としており、JWTの編集や再エンコード機能は通常提供していません。JWTの内容を変更すると署名が無効になるため、正当なトークンを再作成するには、元の署名鍵を用いて正規の方法で再発行する必要があります。内容を改ざんしたトークンは、署名検証に失敗し、無効とみなされます。