JWT エンコーダー/デコーダー
無料オンライン JWT デコードツール、署名付きトークン生成対応
JWT(JSON Web Token)とは
JSON Web Tokenは、二者間でクレームを安全に表現するためのコンパクトでURLセーフな手段です。JWTはドットで区切られた3つの部分で構成されます:ヘッダー(アルゴリズムとトークンタイプ)、ペイロード(クレームまたはデータ)、署名(検証用)。JWTはWebアプリケーションでの認証や情報交換によく使用されます。
JWTトークンのデコード方法
JWTトークン(eyJ...で始まる長い文字列)を入力フィールドに貼り付けます。ツールが自動的にヘッダーとペイロードをデコードしてフォーマットされたJSONとして表示します。有効期限や発行日時などのタイミングクレームも表示されます。データはサーバーに送信されず、すべてブラウザ内でデコードされます。
署名付きJWTの生成方法
ヘッダーとペイロードのJSONを編集し、HMACアルゴリズム(HS256、HS384、HS512)を選択して秘密鍵を入力すると、署名付きJWTが生成されます。iatを現在に設定し、プリセットボタン(+1h、+24h、+7d)でexpを調整できます。
▶JWTのデコードは安全ですか?誰でも読めますか?
はい、JWTのヘッダーとペイロードはBase64URLエンコードされているだけで、秘密鍵がなくても誰でもデコードできます。パスワードのような機密データをJWTペイロードに保存しないでください。署名は完全性の検証のみを行い、機密性は保証しません。
▶JWTとJWSの違いは何ですか?
JWT(JSON Web Token)はトークン構造を定義します。JWS(JSON Web Signature)はトークンに署名するメカニズムです。遭遇するJWTのほとんどは、実際にはJWTペイロードを持つJWSトークンです。
▶RSAやECDSAでJWTに署名できますか?
このツールはHMACアルゴリズム(HS256、HS384、HS512)による署名に対応しています。RSA(RS256)やECDSA(ES256)は非対称鍵を使用するため、異なる鍵管理アプローチが必要です。
▶JWTの有効期限が切れるとどうなりますか?
exp(有効期限)クレームが過ぎると、トークンは期限切れとみなされます。サーバーは期限切れトークンを拒否する必要があります。このツールは期限切れトークンをハイライト表示するため、デバッグ中にすぐに識別できます。