JWTデコーダー

JSON Web Tokenは、関係者間で情報を安全に送信するためのコンパクトでURL安全なトークン形式です。WebアプリケーションやAPI、マイクロサービスにおけるステートレス認証の業界標準として広く採用されています。JWTはドットで区切られた3つのBase64URLエンコード部分で構成されます。アルゴリズムとトークンタイプを指定するヘッダー、クレームを含むペイロード、トークンの改ざんを検証する署名です。

この無料オンラインJWTデコーダーは、任意のJWTを解析して読みやすいシンタックスハイライト付きの形式で表示します。使用されているアルゴリズムを自動検出し、トークンの有効期限を確認し、時刻関連のクレームを人間が読める日時にフォーマットします。すべてのデコードはブラウザ内で完結するため、本番環境のトークンにも安心してご利用いただけます。

• シンタックスハイライト付きのヘッダーとペイロードの即座デコード
• 自動有効期限検出 — トークンが有効か期限切れかを表示
• iat・exp・nbfの時刻クレームを人間が読める形式にフォーマット
• ヘッダーからのアルゴリズム検出と表示
• 文字列・数値・真偽値・null値の色分けJSON出力
• ヘッダー・ペイロード・署名セクションのワンクリックコピー
• 不正または無効なJWTトークンのエラー検出
• トークン入力と解析結果の2パネルレイアウト
• 大きなトークンの確認に便利なフルスクリーンモード
• 100%クライアント側処理 — データは一切サーバーに送信されません

1. 左パネルのテキストエリアにJWTトークンを貼り付けます。
2. 右パネルにデコードされたヘッダー、ペイロード、署名が即座に表示されます。
3. ステータスバッジでトークンが有効か期限切れかを確認します。
4. 読みやすい日付形式で表示された時刻クレームを確認します。
5. 各セクションの横にあるコピーアイコンでクリップボードにコピーします。
6. 「クリア」ボタンでリセットして新しいトークンをデコードします。

ヘッダーには通常2つのフィールドが含まれます。HS256、RS256、ES256などの署名アルゴリズムを指定する「alg」と、通常「JWT」に設定される「typ」です。ヘッダーはサーバーにトークンの署名検証方法を伝えます。

ペイロードにはクレームが含まれます。発行者を示す「iss」、主体を示す「sub」、受信者を示す「aud」、有効期限を示す「exp」、発行時刻を示す「iat」、有効開始時刻を示す「nbf」、そしてアプリケーションが必要とするカスタムクレームです。標準クレームにはJWT仕様で定義された意味があります。

署名はヘッダーとペイロードをエンコードし、ヘッダーで指定されたアルゴリズムで署名して作成されます。HMACアルゴリズムでは共有シークレットが、RSAやECDSAアルゴリズムでは秘密鍵が必要です。署名によりトークンの内容が改ざんされていないことが保証されます。

• トークン内容と有効期限を確認して認証問題をデバッグ
• デプロイ前にトークンに期待するクレームが含まれているか検証
• 401エラーのトラブルシューティング時にトークンの期限切れを確認
• サードパーティトークンのアルゴリズムと構造を理解
• 教育目的でJWTの形式とクレームを学習
• API開発・テスト中にトークンを素早く確認

• このツールはJWTのデコードのみを行います — 署名の検証にはシークレットキーまたは公開鍵が必要なため行いません
• すべてのデコードはブラウザ内で完結し、トークンデータがサーバーに送信されることはありません
• 本番環境のトークンを安全でない環境で共有しないでください
• JWTはエンコードされているだけで暗号化はされていません — シークレットキーなしでペイロードをデコードできます
• クレームを信頼する前に、サーバー側で必ずトークン署名を検証してください
• セキュリティ向上のため、短い有効期限を設定しリフレッシュトークンを使用してください