DevToolsLab

JWT デコーダー

デコード · 確認 · 有効期限チェック

JWT をデコードしてヘッダー・ペイロード・署名を確認。すべてブラウザ内で完結します。

JSON Web TokenJWT(header.payload.signature)を貼り付けてください。デコードはすべてローカルで実行されます。
ヘッダー
ペイロード
署名

すべてのデコードはブラウザ内で実行され、トークンはアップロードされません。

JWT デコーダーとは?

JSON Web Token(JWT)は、ドット(.)で連結された 3 つの Base64URL エンコード部分(header.payload.signature)からなる、コンパクトで URL セーフな文字列です。OAuth、OpenID Connect、Auth0、AWS Cognito、Firebase など、現代の API における認証トークンのデファクト形式です。最初の 2 つは JSON メタデータで、Base64URL でデコードするだけで読めます——本ツールがまさにそれを行います。ヘッダー(アルゴリズム、タイプ)と ペイロード(クレーム:誰が、何を、いつ、いつまで)をデコードし、署名はそのまま表示します。標準時刻クレーム iat / exp / nbf はタイムゾーン付きの読みやすい日付に変換され、ステータスバッジでトークンが「有効」「期限切れ」「まだ無効」のいずれであるかが一目で分かります。デコードはすべてブラウザ内で完結し、トークンが当社サーバーに送信されることは決してありません。

機能

  • 標準 JWT と Base64URL エンコード JOSE トークンの解析
  • JSON シンタックスハイライト付きヘッダー・ペイロード表示
  • 標準クレーム iat / exp / nbf を読みやすい日付とタイムゾーンで自動表示
  • ステータスバッジ:有効 · 期限切れ · まだ無効(相対時間付き)
  • アルゴリズム判定(HS256 / RS256 / ES256 / none …)
  • サンプルトークンをワンクリックで投入
  • 100% ブラウザ内処理 — トークンは送信されません

使い方

  1. 完全な JWT(header.payload.signature)を入力欄に貼り付けます。
  2. ヘッダーとペイロードが瞬時にデコードされ、右側に表示されます。
  3. exp / iat などの標準クレームは読みやすい日付でハイライトされます。
  4. ステータスバッジを確認 — 緑=有効、赤=期限切れ、琥珀=まだ無効。

よくある質問

このツールは署名を検証しますか?

いいえ、意図的に検証しません。署名検証には秘密鍵(HS256)または公開鍵(RS256 / ES256)が必要で、安全に行えるのはサーバー側のみです。公開された Web ページで行うべきではありません。本ツールは内容を確認するためのデコードのみを行います。

トークンはどこかにアップロードされますか?

いいえ。デコード処理は純粋なブラウザ内 JavaScript:Base64URL → UTF-8 → JSON.parse のみです。トークンがページを離れることはありません。DevTools の Network タブを開けばリクエストが一切発生していないことを確認できます。

JWT と Base64 はどう違うのですか?

JWT は 3 つの Base64URL データをドットで連結したもので、最初の 2 つは決まったスキーマの JSON(ヘッダーとクレーム)です。普通の Base64 は任意のバイトのエンコードに過ぎず、構造も意味もありません。

iat / exp / nbf とは何ですか?

RFC 7519 で登録された標準クレームです。iat(issued at)は発行時刻、exp(expiration)は失効時刻でこれを過ぎたら拒否しなければなりません。nbf(not before)はトークンを受け入れられる最も早い時刻です。すべて Unix エポック秒です。

受け取ったばかりのトークンが「期限切れ」と表示されます。なぜ?

あなたのコンピュータの時計が発行側より進んでいる可能性が高いです(クロックスキュー)。多くのサーバーは数秒のずれを許容しますが、分単位・時間単位でずれている場合はシステム時刻を修正してください。表示される exp は Unix エポック秒です。

alg: none は安全ですか?

いいえ。alg が none の JWT は署名を持たず、本番システムでは必ず拒否してください。実環境で受け取った場合は悪意あるトークンとして扱うべきです。本ツールは確認のためにデコードはしますが、その内容を信用してはいけません。

関連ツール

JSON 整形

JSON の整形・圧縮・検証・美化。エラー位置をハイライト。

JSON 比較

2 つの JSON を左右で比較。行単位の赤緑ハイライト、キーソートで順序差を無視。

CSV クリーナー

重複・空行の削除、空白トリム、UTF-8/Shift-JIS 変換、文字化け検出。

YAML コンバーター

YAML ⇔ JSON の相互変換と検証、エラー位置の特定。

Base64 エンコード / デコード

テキストやファイルを Base64 / Base64URL でエンコード・デコード。リアルタイム、ブラウザ内処理。

タイムスタンプ変換

Unix タイムスタンプ(秒 / ミリ秒)と人間が読める日付をタイムゾーン横断で相互変換。

正規表現テスター

正規表現のリアルタイムテスト、マッチのハイライト、サンプル集。

Canonical: https://devformatlab.com/ja/jwt-decoder