JWT デコーダー & インスペクター - JWT をオンラインでデコード
JWTをデコードしてヘッダー・ペイロード・exp・iat・aud・iss・署名を確認。認証デバッグ向けに、トークンは送信せずブラウザ内だけで解析します。
JWT を貼り付けると、このツールは即座に header・payload・signature の 3 つに分解し、デコード済みの JOSE header と payload JSON を表示します。RFC 7519 の登録クレーム(iss・sub・aud・exp・iat・nbf・jti・scope)も見やすく整理され、トークンが「有効」「期限切れ」「まだ有効でない」のどの状態かも自動判定します。すべての処理はブラウザ内で完結し、トークンがサーバーに送信されることはありません。
デコードのみ。署名検証は行いません
この JWT インスペクターはトークンをローカルでデコードし、安全に claims を確認できるようにします。ただし署名が本物・有効・信頼できるかどうかは検証しません。
JWT トークン
生の JWT 文字列にも、Bearer プレフィックス付きトークンにも対応しています。
すべての処理はブラウザー内で完結します。このツールはデコードと確認専用で、署名の検証は行いません。
アルゴリズム
なし
状態
トークン待機中
署名
トークン待機中
解析の準備完了
JWT を貼り付けると、デコードされた header、payload、signature セグメントと RFC 7519 の時間系クレームを 1 か所で確認できます。
JWT をオンラインでデコードして確認する方法
JWT を入力欄に貼り付けます。Bearer プレフィックス付きのトークンは自動で整形されます。
デコードされた header と payload JSON を確認し、RFC 7519 claims サマリーで issuer、audience、時間情報、scope をチェックします。
認証フロー、API リクエスト、外部連携の調査時には、デコード済み JSON や signature セグメントをそのままコピーできます。
主な機能
ローカルでリアルタイムにデコード
JWT の header と payload を即時にデコードできます。ページの再読み込みやバックエンド処理は不要です。
RFC 7519 claims の確認を内蔵
exp、iat、nbf、iss、sub、aud、jti などの RFC 7519 claims を、トークン種別やアルゴリズムとあわせて確認できます。
認証デバッグ向けに設計
API、SPA、モバイル認証の不具合を調査するときに、生のトークン、デコード済み JSON、signature セグメントをすぐにコピーできます。
JWT デコーダー FAQ
この JWT デコーダーは署名を検証しますか?
このページは JWT の構造をデコードし、header、payload、signature セグメントを表示します。署名が有効か信頼できるかまでは証明しません。
この JWT インスペクターは安全ですか?
はい。デコードはすべてブラウザー内で行われるため、トークンがサーバーへアップロードされることはありません。
どの JWT claims を確認できますか?
RFC 7519 の登録 claims である iss、sub、aud、exp、nbf、iat、jti に加え、JOSE header の alg、typ、kid、さらに payload 内のカスタム claims も確認できます。
JWT を貼り付けると、このツールは即座に header・payload・signature の 3 つに分解し、デコード済みの JOSE header と payload JSON を表示します。RFC 7519 の登録クレーム(iss・sub・aud・exp・iat・nbf・jti・scope)も見やすく整理され、トークンが「有効」「期限切れ」「まだ有効でない」のどの状態かも自動判定します。すべての処理はブラウザ内で完結し、トークンがサーバーに送信されることはありません。
JWT をデコードして確認する手順
- 1
JWT を貼り付ける
生の JWT 文字列を入力欄に貼り付けます。Bearer プレフィックス付きでコピーしたトークンは、デコード前に自動で整形されます。
- 2
デコード済みセグメントを確認する
Base64URL デコードされた header と payload を整形済み JSON で確認し、生の signature セグメントは別欄に表示されます。
- 3
クレームサマリーを確認する
RFC 7519 の登録クレーム(issuer・subject・audience・scope・JWT ID)と、exp・iat・nbf から算出されたトークンの有効状態を確認します。
- 4
必要なものをコピーする
コピーボタンを使って、生のトークン・デコード済み header/payload JSON・signature セグメントを、認証フローや API リクエストのデバッグ時にそのまま利用できます。
参考資料
- RFC 7519 — JSON Web Token (JWT)
JWT の構造と、このツールが確認する登録クレーム(iss・sub・aud・exp・nbf・iat・jti)を定義した IETF 仕様書。
- RFC 7515 — JSON Web Signature (JWS)
JWS コンパクトシリアライゼーションと、デコード済みヘッダーにある alg・typ などの JOSE header フィールドを定義した IETF 仕様書。
関連ツール
よくある質問
- この JWT デコーダーは署名を検証しますか?
- いいえ。このページは JWT の構造をデコードし、header・payload・signature セグメントを表示しますが、署名が有効か信頼できるかまでは証明しません。真正性を確認するには、サーバーの署名キーと JWS ライブラリを使用してください。
- この JWT インスペクターは安全ですか?
- はい。デコードはすべてブラウザ内でローカルの JavaScript により行われます。トークンが当社サーバーにアップロードされたり、お使いのデバイスの外に出ることはありません。
- どのような JWT クレームを確認できますか?
- RFC 7519 の登録クレーム(iss・sub・aud・exp・nbf・iat・jti)のほか、JOSE header の alg・typ・kid、payload 内のカスタムクレームも確認できます。
- JWT の有効期限が切れているかどうかを確認するには?
- インスペクターは exp(有効期限)と nbf(有効開始)クレームを読み取り、Unix タイムスタンプを現在時刻と比較して「有効」「期限切れ」「まだ有効でない」のいずれかで状態を表示します。
- JWT を JavaScript でデコードするには?
- JavaScript では jwt-decode ライブラリ(npm)が定番です。ブラウザ環境なら atob() で Base64 部分を手動デコードすることもできます。このツールはコードを書かずに素早く内容を確認したい場合に最適です。
- Bearer プレフィックス付きのトークンは使えますか?
- はい。「Bearer eyJ...」の形式でコピーしたトークンを貼り付けると、デコーダーが JWT セグメントを解析する前に Bearer プレフィックスを自動で除去します。