/ キーで検索

JWTデコーダー

JWTのヘッダーとペイロードをブラウザ内でローカルにデコードします。トークンをどこにも送信せずに、クレーム、有効期限、発行者、タイムスタンプを確認できます。

🔒 ネットワークリクエストはゼロ。トークンがブラウザから外に出ることはありません。

JWTデコーダーをテストしました — 次は JSONフォーマッター&バリデーター を試そう →

JWTデコーダーとは?

JSON Web Token(RFC 7519)は、ドット で区切られた 3 つの Base64URL エンコードされたセグメントで構成されています:header.payload.signature。ヘッダーは署名アルゴリズム(alg: HS256RS256ES256 など)とトークンタイプを宣言します。ペイロードはクレームを携帯します — 登録済み(RFC 7519 §4.1 に従う isssubaudexpiatnbfjti)、パブリック(emailname など IANA 登録名)、およびプライベート(アプリが定義するカスタムフィールド)。署名は、検証者が知っている鍵を使用して連結された header.payload 文字列に対する HMAC または RSA/ECDSA です。このデコーダーはヘッダーとペイロードをローカルで読み取ります — 署名を検証しません。なぜなら検証には秘密鍵または公開鍵が必要で、そのいずれかを Web ツールに貼り付けることはその目的を損なうからです。デコード ≠ 検証:見た目は有効な JWT でも、偽造された署名、期限切れの exp、または一部のずさんなライブラリが受け入れる alg: none ヘッダーを持つ可能性があります(2015 年の alg: none 脆弱性は今なお監査に現れます)。統合作業中の検査にこのデコーダーを使用し、リクエストを認可する前のゲートとしては使用しないでください。

JWTデコーダーの使い方

完全なトークン(ドットで区切られた 3 つのセグメント)を入力に貼り付けます。ツールはドットで分割し、各セグメントを Base64URL デコードし、ヘッダーとペイロードをフォーマットされた JSON として表示します。iatnbfexp などの数値クレーム(1970 年からの Unix 秒)は、生の値と共に ISO-8601 日付に変換されます。ステータスバナーは、期限切れ(now > exp)、未検証(now < nbf)、またはアクティブを報告します。デコードが失敗した場合、エラーはどのセグメントが不正な形式であるかを指摘します — 通常はコピー-ペーストで切り詰められたトークン、文字が不足している Base64URL 文字列、または JWT の代わりに不透明なセッション ID を誤ってペーストした場合です。コピーを使用して、セグメントの JSON を jq、Postman、または IDE でさらに検査できます。署名セグメントは生で表示されます — 検証は意図的に対象外です。

JWTの検査が重要な理由

認証が失敗したとき、最初の検査ステップはいつもトークンです:どのクレームが存在するか、期限切れか、aud が予期される API と一致するか、iss が正しい認可サーバーからか、クライアントが正しい scope をリクエストしたか。ローカルデコーダーがなければ、開発者は本番トークンをランダムなオンラインサイトに貼り付けます — 毎回の貼り付けは、そのサイトのログ、分析、またはバックエンドを所有する誰もが認可情報を盗む可能性があります。ローカル Base64URL デコードは漏洩を防ぎます。デバッグを超えて、JWT リテラシーはセキュリティレビューに重要です:alg: none トークンを発見する、exp が将来の年であることに気付く、またはペイロード内の予期しないロールクレームをキャッチすることは、デコーダーを使えば数秒、なければ数分かかります。JWT はベアラートークンです — 所有は認可です。検査中に注意深く扱うことは、本番データベース認証情報を注意深く扱う場合と同じ衛生習慣です。

よくある質問

このツールはJWT署名を検証しますか?

いいえ。このページはヘッダーとペイロードをローカルでデコードするだけです。署名の検証やトークンの信頼性確認は行いません。

jwt.ioではなくこれを使う理由は?

TeaFunはプライバシー重視のデコードを重視しています。トークンはブラウザ内に留まり、処理のためにアップロードされることはありません。

どのタイムスタンプが表示されますか?

存在する場合、exp、iat、nbfはUnixタイムスタンプから読みやすいISO日付に変換されます。

これらのコレクションは、同じ作業でよく続けて使うツールやガイドをまとめています。

開発データワークフロー

JSON、YAML、env、JWT、ヘッダー、ログをブラウザー内で整形・確認・変換・検証できます。

コレクションを開く →

同じタグを見る

同じワークフロー、形式、用途を持つ別のツールへすぐ移動できます。

データ 8テキスト 8セキュリティ 3

今の作業に合わせた次の候補です。

JSONフォーマッター&バリデーター

ブラウザ内でJSONを即座にフォーマット、検証、縮小化します。ネットワークリクエストはゼロ — データがデバイスから外に出ることはありません。

データ 整形 テキスト

Base64エンコーダー/デコーダー

ブラウザ内でローカルにBase64をエンコード・デコードします。テキスト変換、URLセーフBase64、ファイルからBase64へのエクスポートに対応しています。

データ 変換 セキュリティ

HTTPセキュリティヘッダーチェッカー

生のレスポンスヘッダーまたはcurl -Iの出力を貼り付けて、CSP、HSTS、COOPなどの一般的なセキュリティヘッダーをローカルで確認できます。

データ セキュリティ