DATAEGG
← ツール一覧に戻る

JWT デコード

JSON Web Tokenを貼り付けるだけで、ヘッダー・ペイロード・署名と有効期限を瞬時に確認できます。

0文字

JWT(JSON Web Token)とは

JWTは、JSONオブジェクトをコンパクトな文字列として安全にやりとりするためのオープン標準(RFC 7519)です。認証トークンやAPIアクセストークンとして広く使われており、サーバー間で状態を持たずにユーザー情報を受け渡すのに適しています。

本ツールはすべての処理をブラウザ上で実行します。入力したトークンがサーバーに送信されることは一切ありません。

JWTの構造(3つのパート)

JWTは「.」で区切られた3つのパートで構成されます。各パートはBase64urlでエンコードされたバイト列です。

  • 1.Header(ヘッダー): 署名アルゴリズム(alg)とトークン種別(typ)を表すJSON
  • 2.Payload(ペイロード): ユーザーIDや有効期限などのクレーム(主張)を含むJSON
  • 3.Signature(署名): HeaderとPayloadを秘密鍵で署名した結果。改ざんを検出するために使う

本ツールの使い方

  • 1.上部の入力欄にJWTを貼り付けます(「サンプルJWTを読み込む」ボタンで動作を確認できます)
  • 2.Header / Payload が自動的にJSON整形表示され、Signature は元のBase64url文字列のまま表示されます
  • 3.iat / exp / nbf などの時刻系クレームは、ローカル時刻とUTCの両方で人間可読に表示。有効期限切れは自動で判定します
  • 4.各パートはコピーボタンでワンクリックで取得可能。テキストはすべてローカル処理のため安全です

よく見かけるクレーム

  • -iss (Issuer): トークンの発行者
  • -sub (Subject): トークンの主体(通常ユーザーID)
  • -aud (Audience): トークンの受信者(対象のAPIやサービス)
  • -exp (Expiration Time): 有効期限(Unix秒)。この時刻を過ぎたトークンは無効
  • -iat (Issued At): 発行時刻(Unix秒)
  • -nbf (Not Before): 有効化開始時刻。この時刻より前は無効
  • -jti (JWT ID): トークンの一意識別子(再利用検知などに使う)

JWTに関するよくある質問(FAQ)

Q. JWTの署名検証はこのツールでできますか?

いいえ、本ツールはデコードのみで、署名検証は行いません。署名を検証するには発行者の公開鍵(RS256/ES256の場合)または共有秘密鍵(HS256の場合)が必要です。本ツールでは鍵情報を扱わないため、トークンの真正性は確認できません。

Q. JWTに機密情報を入れても大丈夫ですか?

JWTのペイロードは暗号化されていません。Base64urlでエンコードされているだけなので、本ツールのようにデコードすれば誰でも中身を読めます。パスワードや個人情報などの機密情報は、JWTのペイロードには入れないでください。暗号化が必要な場合は JWE(JSON Web Encryption)を使います。

Q. alg: none のJWTとは?

署名アルゴリズムに「none」を指定することで、署名なしのJWTを作成できます。過去にはこれを悪用した脆弱性が報告されており、本番環境では必ず alg を HS256 / RS256 / ES256 などに固定し、サーバー側で明示的に検証することが推奨されます。

Q. 入力したトークンは外部に送信されますか?

送信されません。本ツールのデコード処理はすべてブラウザ内のJavaScriptで完結しており、サーバーへの通信は発生しません。本番環境のトークンをデバッグする際も安全にご利用いただけます。

Q. アクセストークンとリフレッシュトークンの違いは?

アクセストークンはAPIへのリクエスト時に付与する短命なトークン(通常数分〜数時間)。リフレッシュトークンは、アクセストークンが期限切れになったときに新しいアクセストークンを取得するための長命なトークンです。どちらもJWT形式で発行されることがあります。

関連する無料変換ツール

Base64エンコード/デコード

JWTの各パートもBase64urlで構成されています

JSON整形

Payloadをさらに加工・バリデーションする際に

ハッシュ生成

SHA-256等のハッシュ値を計算

UnixTime変換

exp / iat など任意のUnix秒を日時に変換

DataEggは業務改善・AI導入の支援も行っています

中小企業の業務設計から実装・定着まで月額で伴走します。

詳しく見る →

CONTACT

認証・API連携も含めて、 仕組みごと整えませんか。

JWTでのAPI認証、OAuth / OIDC との組み合わせ、バックエンド側の検証・鍵運用まで。 まずはお気軽にご相談ください。

無料で相談する

※ 営業電話は一切しません。合わなければその場でお断りOKです