T

Text Machine

強力なテキストツールを、ブラウザで

JWT デコーダー

あらゆる JSON Web Token をデコードして、ヘッダー・ペイロード・クレームを読みやすい形で確認し、必要に応じて HMAC(HS256/384/512)署名を検証できます。処理はすべてブラウザ内で完結します。

エンコード済みトークン

JWT デコーダー の使い方

  1. 1

    トークンを貼り付ける

    エンコードされた JSON Web Token を入力欄に貼り付けます。デコーダーが自動的にヘッダー・ペイロード・署名へと分割します。

  2. 2

    クレームを読み取る

    デコードされたヘッダーとペイロードを整形された JSON で確認し、有効期限や発行時刻などの登録済みクレームを読みやすい日付で確認できます。

  3. 3

    署名を検証する

    HMAC トークンの場合は、署名用のシークレットを入力して、署名が有効でトークンが改ざんされていないことを確認します。

  4. 4

    必要な部分をコピーする

    整形されたヘッダーやペイロードの JSON をクリップボードにコピーして、テストやドキュメント作成、デバッグに活用できます。

よくある質問

JSON Web Token(JWT)とは何ですか?
JSON Web Token は、二者間でクレームをやり取りするためのコンパクトで URL セーフな方式です。ドットで区切られた 3 つの Base64URL エンコード部分(ヘッダー・ペイロード・署名)で構成され、ウェブ API の認証・認可で広く使われています。
JWT をデコードするとパスワードやシークレットが見えてしまいますか?
いいえ。ヘッダーとペイロードは暗号化されておらず、Base64URL でエンコードされているだけなので、誰でも読み取れます。だからこそ、機密情報をトークン内に保存してはいけません。署名に使うシークレット自体はトークンには含まれておらず、デコードしても復元することはできません。
ここでの署名検証はどのように行われますか?
HMAC アルゴリズム(HS256、HS384、HS512)の場合、このツールはブラウザに組み込まれた Web Crypto API を使い、ヘッダー・ペイロード・入力されたシークレットから署名を再計算し、トークンの署名と比較します。RS256 や ES256 などの非対称アルゴリズムは公開鍵が必要なため、デコードは行いますが検証はしません。
exp と iat クレームは何を意味しますか?
exp(有効期限)と iat(発行時刻)は、秒単位の Unix タイムスタンプとして保存される登録済みクレームです。このデコーダーはそれらを読みやすい日付に変換し、お使いのデバイスの時計を基準に、トークンが現在有効か、まだ有効でないか、あるいは期限切れかを表示します。
入力したトークンはサーバーに送信されますか?
いいえ。デコードと署名検証はすべてブラウザ内で実行されます。トークンやシークレットがアップロード・記録・保存されることはないため、本番環境のトークンであっても完全に保護されます。

関連ツール

こちらの便利なツールもどうぞ

URL Encoder / Decoder

Base64 エンコード / デコード

HTMLからテキストへの変換ツール

JSON フォーマッター

正規表現テスター

CSS グラデーションジェネレーター