JWTデコーダー
JWTをブラウザ内で安全にデコード。入力データは外部に一切送信されません。
📖JWTの構造と標準クレーム(Registered Claims)一覧を見る
JWT(JSON Web Token)の基本構造
JWTはドット(.)で区切られた3つのBase64URLエンコードされた文字列で構成されます。
- Header(ヘッダー): トークンのタイプ(JWT)と、署名に使用されるハッシュアルゴリズム(HS256やRS256など)を指定します。
- Payload(ペイロード): 実際に伝達したいデータ(クレーム)を含みます。ユーザーIDや権限情報などがここに入ります。
- Signature(署名): ヘッダーとペイロードを基に、秘密鍵を用いて生成されます。トークンが改ざんされていないことを検証(Verify)するために使用されます。
標準クレーム(Registered Claims)一覧
ペイロードに含まれる、RFC 7519で定義されている予約済みの標準的なクレーム(キー)です。
- •
iss(Issuer): トークンの発行者(認証サーバーやサービス名など)を識別します。 - •
sub(Subject): トークンの主題(通常は一意のユーザーID)を指定します。 - •
aud(Audience): トークンの受信者(利用を想定しているAPIやサービス)を識別します。 - •
exp(Expiration Time): トークンの有効期限(Unixタイムスタンプ)を指定します。この時間を過ぎたトークンはサーバー側で拒否されるべきです。 - •
nbf(Not Before): トークンが有効になる日時(Unixタイムスタンプ)を指定します。この時間より前はトークンを使用してはいけません。 - •
iat(Issued At): トークンが発行された日時(Unixタイムスタンプ)を指定します。 - •
jti(JWT ID): トークンの一意の識別子。リプレイ攻撃の防止や、使い捨てトークンの管理などに使用されます。
セキュリティ上の注意点
JWTのペイロードは単なるBase64URLエンコードであり、暗号化されているわけではありません。デコードすれば誰でも中身を読むことができるため、パスワードや個人情報などの機密データは絶対にペイロードに含めないでください。
JWT入力
セキュリティについて
このツールはすべての処理をブラウザ内で行います。入力されたJWTは外部サーバーに送信されることはありません。安心してご利用ください。