Handytool
デベロッパーガイド5 分で読める2026年2月24日 に更新

インスタント開発ユーティリティ

任意のJWTをデコードし、その要求を即座に検査

Handytoolの JWTデコーダーは、任意のJSON WebTokenをそのヘッダー、ペイロード、クレームに分割します—有効期限チェックと人間が読める形式のタイムスタンプ—すべてブラウザーで、サーバーに触れることなく。

JWT デコーダー を開くすべての記事

重要なポイント

  • 01JWTをデコードし、1つの貼り付けでヘッダー、ペイロード、標準要求を検査します。
  • 02exp、nbf、iat要求は有効期限タグを持つ人間が読め形式のタイムスタンプに変換されます。
  • 03デコーディングは純粋にローカルです—デバッグ中に本番トークンを貼り付けるのに安全。
  • 04デコーダーは署名を検証しません—発行者のキーを使用してサーバー側で発生する必要があります。

JWTデコーダーが必要な理由

JSON Webトークンは、ドットで区切られた3つのBase64URLエンコードセグメントであることを知らないまでランダムノイズのように見えます。最初のセグメントはヘッダー(アルゴリズムとトークンタイプ)で、2番目はペイロード(要求:ユーザーID、ロール、有効期限)で、3番目は署名です。認証の問題、期限切れセッション、または壊れたOAuth統合をデバッグするとき、最初にしなければならないことはペイロードを読むことです。

手動でそれを行うことは、ドット上で分割し、Base64URLをデコード、Unixタイムスタンプを読める日付に変換することを意味します。Handytoolの JWTデコーダーはすべてを自動的に実行し、タイミング要求に有効性タグを追加するため、トークンがまだアクティブかどうかを一目で見ることができます。

JWTトークンをデコードする方法

  1. 01

    JWTをコピーします

    ブラウザーの DevTools(アプリケーション>Cookie、またはネットワークパネルの認可ヘッダー)、ログファイル、またはAPIクライアントからトークンを取得します。

  2. 02

    デコーダーに貼り付けます

    ドットで区切られたすべての3つのセグメントを含む完全なトークンを入力ボックスに貼り付けます。デコーダーはセグメントを自動的に識別します。

  3. 03

    ヘッダーとペイロードを読みます

    ツールはトークンを分割し、ヘッダー(アルゴリズム、タイプ)とペイロード(すべての要求)をフォーマットされたJSONとしてプリティプリントします。

  4. 04

    タイミング要求を確認します

    exp(有効期限)、nbf(以前ではない)、iat(発行済み)Unixタイムスタンプは、ISO日付に変換されます。デコーダーはexpを現在のローカル時刻に対して緑(有効)または赤(期限切れ)としてタグ付けします。

標準JWT要求の説明

これらの登録要求名はほとんどのJWTに表示されます。

  • 01iss(発行者)—トークンを作成した人物を識別します。通常はURLまたはサービス名。
  • 02sub(件名)—トークンが表現するプリンシパル。通常はユーザーID。
  • 03aud(オーディエンス)—トークンの意図した受信者。サーバーは他の人向けのトークンを拒否する必要があります。
  • 04exp(有効期限)—トークンを拒否する必要があるUnixタイムスタンプ。
  • 05nbf(以前ではない)—トークンを拒否する必要があるUnixタイムスタンプ。
  • 06iat(発行済み)—トークンが鋳造されたUnixタイムスタンプ。古いトークンの検出に役立ちます。

デバッグ中に本物のトークンを貼り付けても安全です

JWTデコーディングはネイティブatob関数とJSON.parseを使用してブラウザーで完全に行われます。トークンに送信されるものはありません—デコード、メモリで表示、ローカルです。開発またはステージング環境から実際のアクセストークンとセッショントークンを貼り付けて、認証フローをデバッグできます。

つまり、パスワードのようなJWTを扱います。彼らはその完全なライフタイムの間にシステムへのアクセスを与えます。ツールのプライバシー保証を確信していない限り、本番トークンから高権限アカウント貼り付けないでください—また、トークンが公開されたと信じる場合は常にそれを回転させます。

JWTデコーダーのFAQ

JWTとは何ですか?

JSON Web Tokenは、ドットで区切られた3つのBase64URLセグメント(ヘッダー、ペイロード、署名)で構成される、コンパクトなURLセーフ形式です。JWTはクレーム(ユーザーまたはセッションに関する主張)を実行し、認証、認可、APIアクセスに使用されます。

このデコーダーはJWT署名を検証しますか?

いいえ。デコーダーはヘッダーとペイロードのみをパース します。署名検証には発行者の秘密キーまたは公開キーが必要で、信頼されたライブラリを使用してアプリケーション コードで実行する必要があります。

ここに本物のアクセストークンを貼り付けても安全ですか?

デコーディングは完全にローカルです—トークンは送信されません。ただし、JWTは本物のアクセスを付与するため、パスワードのように扱います。共有しないでください。ソース管理にコミットしないでください。公開される可能性がある場合は回転します。

exp要求は何を意味しますか?

expは有効期限タイムスタンプです—トークンが有効でなくなる瞬間を表すUnix整数。デコーダーは、これを人間が読める形式のISO日付に変換し、現在のローカル時刻に対して有効または期限切れでマークします。

キーなしでJWTペイロードが表示されるのはなぜですか?

JWTペイロードはBase64URLエンコードされ、暗号化されていません。彼らは読み取り可能になることをデザインされています—署名は真正性を証明するだけで、機密性ではありません。JSON WebEncryption(JWE)を使用しない限り、JWTペイロードに本当に秘密のデータを入れないでください。

デコーダーは無料ですか?

はい。Handytoolは無料で、サインアップなし、レート制限なし、データ収集なしです。

関連ツール

ユーティリティ ツールで作業を続ける

ユーティリティ ツール