JWTデコーダー
JWTトークンをオンラインで解析・デコード
JWTトークンを貼り付けるだけで、Header・Payload・Signatureを分解して見やすく表示します。各フィールドの日本語解説や有効期限の判定も自動で行います。すべての処理はブラウザ内で完結し、トークンは外部に送信されません。
Header(ヘッダー)
Payload(ペイロード)
Signature(署名)
Base64URLエンコードされた署名データ:
JWTとBase64URLデコードの仕組み
JWTの構造
JWT(JSON Web Token)は、ドット(.)で区切られた3つのパートで構成されています。
- Header - トークンのタイプ(JWT)と署名アルゴリズム(HS256、RS256等)を格納
- Payload - ユーザーIDや有効期限などのクレーム(情報)を格納
- Signature - HeaderとPayloadを秘密鍵で署名したデータ。改ざん検知に使用
Base64URLエンコードとは
JWTのHeaderとPayloadはBase64URLエンコードされています。これは標準のBase64エンコードを、URLで安全に使える形に変換したものです。
+を-に置換/を_に置換- 末尾のパディング(
=)を除去
デコードの手順: Base64URL文字列 → 標準Base64に変換 → バイナリデータに変換 → UTF-8文字列(JSON)に変換
主要なクレーム(Payload フィールド)
sub(Subject) - トークンの主体(通常はユーザーID)iss(Issuer) - トークンの発行者exp(Expiration Time) - 有効期限(Unixタイムスタンプ)iat(Issued At) - 発行日時(Unixタイムスタンプ)nbf(Not Before) - 有効開始日時aud(Audience) - トークンの対象者jti(JWT ID) - トークンの一意な識別子
セキュリティに関する注意
JWTのPayloadはBase64URLエンコードされているだけで、暗号化されていません。誰でもデコードして中身を読むことができます。パスワードやクレジットカード番号などの機密情報をPayloadに含めてはいけません。