🦊Foxi Tools
🔐

JWTデコーダー

JWTトークンを解析して分析します

JWTデコーダーは、JWT(JSON Web Token)文字列を入力するとヘッダー・ペイロード・シグネチャの3部分に自動分離し、Base64デコードしてJSON形式で表示するツールです。トークンの有効期限(exp)、発行時刻(iat)、ユーザー情報などのクレームを一目で確認できます。OAuth認証やAPIトークンベースの認可を実装する開発者にとって、デバッグに欠かせないツールです。

📖 使い方

  1. JWTトークンを入力欄に貼り付けてください
  2. 自動的にヘッダーとペイロードがデコードされます
  3. 有効期限とクレーム情報を確認してください
  4. トークンの有効性を確認できます

主な機能

  • ヘッダー/ペイロード自動デコード
  • 有効期限確認
  • クレーム情報表示
  • 有効性状態表示
  • JSON形式出力

💡 活用事例

  • バックエンド開発者:API認証の問題発生時にJWTトークンのクレームと有効期限を確認して原因を特定します。
  • フロントエンド開発者:ログイン後に受け取ったトークンのペイロードを確認し、ユーザー情報が正しいか検証します。
  • QAエンジニア:認証テスト時にトークンのロール(role)や権限(permission)クレームを確認します。
  • セキュリティ担当者:トークンに機密情報が含まれていないか監査します。
  • 学生:JWTの構造と各クレームの意味を実際のトークンで学習します。
  • DevOpsエンジニア:サービス間通信で使用されるトークンの有効期限設定を確認・監視します。

🎯 活用ヒント

  • トークンを貼り付けると自動的にデコードされます。「Bearer 」プレフィックスが含まれていても処理できます。
  • exp(有効期限)とiat(発行時刻)はUnixタイムスタンプです。ツール上では人間が読める日付形式に自動変換されます。
  • JWTペイロードは暗号化されずBase64エンコードされているだけなので、機密情報を含めないでください。
  • トークンが期限切れと表示された場合は、新しいトークンを発行する必要があります。リフレッシュトークンを活用しましょう。

よくある質問

Q. JWT署名も検証しますか?

A. このツールはデコードのみ行います。署名検証はサーバーでシークレットキーで行う必要があります。

Q. JWTの3つの部分は何ですか?

A. ヘッダー(アルゴリズム)、ペイロード(データ)、シグネチャ(署名)の3部分で構成されています。

Q. JWTペイロードの内容が見えても安全ですか?

A. JWTペイロードはBase64エンコードされているだけで暗号化されていません。誰でも内容を読むことができます。パスワードやクレジットカード番号などの機密情報はペイロードに含めないでください。署名は改ざん防止のみの役割です。

Q. HS256とRS256の違いは?

A. HS256は対称鍵(1つの共有シークレット)で署名し、RS256は非対称鍵(公開鍵/秘密鍵ペア)で署名します。マイクロサービス環境では、公開鍵のみ配布すればよいRS256がより安全です。

Q. トークンがデコードできません

A. 有効なJWTはドット(.)で区切られた3つのパートで構成される必要があります。前後の空白や改行を除去し、トークンが完全にコピーされているか確認してください。

🔗 関連ツール

JSONフォーマッターHTML圧縮HTML整形JavaScript圧縮