Handytool
ユーティリティローカルで実行

JWT デコーダー

JSON Web Token をデコードして、ヘッダー、ペイロード、クレームを検査します。すべてブラウザ内で処理。サーバーには送信されません。

JWT
0 0 バイト
デコード済み
0 0 バイト

Handytool はヘッダーとペイロードのみをデコードします。署名検証は発行者の鍵を使用してサーバー側で行う必要があります。

JWT デコーダーについて

Handytool の JWT デコーダーは JSON Web Token をヘッダーとペイロードに分解し、標準的なクレーム(iss、sub、aud、iat、exp、nbf)をハイライト表示し、トークンが既に有効期限を超えているかを表示します。デコーディングは完全にローカルで行われるため、実際のアクセストークンとセッショントークンを貼り付けても、デバイスから出ることはありません。認証フロー、OAuth 統合、または複雑に見える JWT を返すサードパーティ API をデバッグするときに便利です。

JWT デコーダーの機能

  • 01

    ヘッダー、ペイロード、クレームが一目瞭然

    デコーダーは JWT を 3 つのセグメントに分割し、ヘッダーとペイロードを JSON として見やすく表示し、標準的なクレーム(アルゴリズム、サブジェクト、発行者、オーディエンス、発行時刻、有効期限)をコンパクトなサマリーの上に表示します。

  • 02

    有効期限とタイミングチェック

    exp クレームは ISO タイムスタンプに変換され、現在のクロック相対で有効または失効としてタグ付けされます。nbf(発行前時刻)と iat(発行時刻)についても同様です。Unix-to-Date の手動変換は不要です。

  • 03

    デコーダーのみ — アップロードなし

    トークンはネイティブ atob を使用してブラウザ内でデコードされます。サーバーへの送信は一切ありません。本番 JWT、API アクセストークン、セッション Cookie をデバッグ中に安心して貼り付けられます。

JWT デコーダーのよくある質問

JWT とは何ですか?
JSON Web Token は、ドット区切りの 3 つの Base64URL エンコード済みセグメント(ヘッダー:アルゴリズムとタイプ、ペイロード:クレーム、署名)から成るコンパクトで URL セーフなトークン形式です。JWT は認証、認可、短期間のみ有効な API アクセスで広く使用されています。
このデコーダーは署名を検証しますか?
いいえ。デコーダーはヘッダーとペイロードを解析して内部を表示するのみです。署名検証には発行者の機密鍵または公開鍵が必要ですが、これはサーバーに留まるべき情報で、ウェブツールに貼り付けるべきではありません。アプリケーション内でサーバー側で署名を検証してください。
本物の JWT を貼り付けても安全ですか?
デコーディングはブラウザ内で完全に行われ、トークンが転送されることはありません。ただし、JWT は暗号化されていません(トークンを持っている誰もがクレームを読み取れます)。パスワードと同様に扱ってください — 共有しない、コミットしない、流出した場合はローテーションしてください。
署名が表示されていても検証されない理由は何ですか?
署名を表示することで、デバッグ時にサーバーが生成する署名と比較できます。実際の検証には署名鍵(HMAC 機密鍵または RSA/EC 公開鍵)が必要ですが、デコーダーはアクセス権もなく、持つべきでもありません。
"exp" は何を意味しますか?
exp は有効期限クレーム — トークンを拒否すべき Unix タイムスタンプです。デコーダーはそれを ISO タイムスタンプに変換し、未来にある場合は緑のタグ、既に有効期限を超えている場合は赤のタグを表示します。

関連ツール

ユーティリティ

他のツールを見る

すべてのツール