JWTデコーダー
JWTを貼り付けるとヘッダーとペイロードをリアルタイムでデコードして表示します。 シークレットも含め、すべての処理はブラウザ内で完結し、外部に送信されることはありません。
JWT
Header
Payload
署名検証(HS256のみ)
HMAC-SHA256のシークレットを入力して署名を検証します。シークレットは送信されず、ブラウザ内の crypto.subtle でのみ使用されます。
使い方
- JWT(
xxxxx.yyyyy.zzzzz形式の文字列)を上のエリアに貼り付ける - ヘッダーとペイロードが自動でデコード・整形表示されます
- HS256のトークンは、シークレットを入力して「検証」を押すと署名の一致を確認できます
JWTの構造
JWT(JSON Web Token)は header.payload.signature の3つの部分をドットで連結した文字列です。 headerとpayloadはそれぞれJSONをBase64URLでエンコードしたもので、署名がなくても中身は誰でも読めます。 signatureはheaderとpayloadに対する署名で、改ざんの検出に使われます(HS256の場合は共有シークレットによるHMAC-SHA256)。
仕様と注意
- ペイロード内の exp(有効期限)・iat(発行日時)・nbf(有効開始日時)は、ローカルタイムゾーンの日時を併記します。expが過去の場合は「期限切れ」と表示します
- 署名検証は HS256(HMAC-SHA256)のみ対応です。RS256などの公開鍵方式は対応外と表示します
- JWTは中身が読める形式のため、機密情報を含むトークンを外部のWebサイトに貼り付けないでください。本ツールはすべてローカル(ブラウザ内)で処理し、入力内容を一切送信しません