開発者

JWT デコーダー

JSON Web トークンを貼り付けて、ヘッダー、ペイロード、および署名に分割します。exp や iat のようなタイムスタンプは読みやすい日付にフォーマットされ、クレームテーブルはすべてのフィールドを一目で表示します。完全にブラウザ内で実行されます。

JWT トークン

JWTとは何ですか？

JSON Web Token (JWT) は、2つの当事者間でクレームを表現するためのコンパクトでURLセーフな方法です。これは、署名アルゴリズムを名前付けするヘッダー、クレームを運ぶペイロード、およびトークンが署名キーを持つ誰かによって発行されたことを証明する署名の3つのbase64urlエンコードされたセグメントで構成されています。JWTは、OAuth 2.0アクセストークン、OpenID Connect IDトークン、およびほとんどのステートレスセッションシステムのデフォルト形式です。このデコーダーはトークンを分割し、各セグメントの生のJSONを表示します — 署名を検証することはありません。なぜなら、それには発行者の秘密鍵または公開鍵が必要だからです。

JWTデコーダーの使い方

1
トークンを貼り付ける
Authorizationヘッダー、デバッグログ、またはURLからJWTをコピーします。eyJ...eyJ...signatureのように、3つのセグメントで構成されている必要があります。
2
ヘッダーとペイロードを確認する
ヘッダーにはアルゴリズム（alg）とトークンタイプ（typ）が表示されます。ペイロードにはすべてのクレーム — sub、iss、aud、exp、iat、および任意のカスタムフィールドがリストされています。
3
有効期限を一目で確認する
有効性バナーは、トークンが期限切れ、アクティブ、またはまだ有効でない（nbf）かをすぐに教えてくれます。時間クレームはUTCと相対形式の両方で表示されます。
4
個々のセクションをコピーする
ヘッダーまたはペイロードパネルのコピーボタンを使用して、デバッグ、共有、または別のツールに貼り付けるためのクリーンなJSONを取得します。

JWTの構造

JWTは、ドットで結合された3つのbase64urlセグメントを持っています：
 
    ヘッダー.ペイロード.署名
 
ヘッダー  — 署名アルゴリズムを説明するJSON
          { "alg": "HS256", "typ": "JWT" }
 
ペイロード — クレームを運ぶJSON
          { "sub": "1234", "exp": 1700000000 }
 
署名 — ヘッダー.payloadに対するHMACまたはRSA、base64urlエンコード
 
標準時間のクレーム（エポックからの秒数）：
  exp  = 有効期限
  iat  = 発行日時
  nbf  = 使用開始前

ヘッダーとペイロードは誰でも読めるプレーンなJSONです — base64urlはエンコーディングであり、暗号化ではありません。署名はトークンを信頼できるものにするもので、発行者が秘密鍵（HS*アルゴリズムの場合）または公開鍵（RS*/ES*アルゴリズムの場合）を使用して最初の2つのセグメントに対して計算します。トークンを受け取ったサーバーは、一致する秘密鍵または公開鍵で署名を再計算し、一致しないものは拒否します。だからこそ、ペイロードにパスワードのような機密データを決して入れてはいけないのです。このツールはデコードのみを行い、検証には発行者の鍵が必要です。

参考文献： RFC 7519 — JSON Web トークン (JWT)

例

入力	出力
ヘッダー: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } HMAC-SHA256トークンの最小ヘッダー。
expクレームを含むペイロード	{ "sub": "1234", "exp": 1700000000 } expはエポックからの秒数 — UTCで2023-11-14。
期限切れのトークン	トークンが期限切れ · 2024-01-01に期限切れ（3ヶ月前） expが過去のものであるとき、有効性バナーが赤に変わります。
不正なトークン（セグメントが2つのみ）	無効なトークン：3つのセグメントが必要ですが、2つしかありません JWTは正確に3つのドットで区切られたbase64url部分を持つ必要があります。

一般的な使用例

OAuthアクセストークンをデバッグして、どのスコープとオーディエンスが含まれているかを確認する
失敗したリクエストが期限切れのトークンによるものかどうかを確認する
OpenID Connect IDトークンを検査して、subやemailなどのユーザークレームを読む
マジックリンクまたはパスワードリセットトークンをデコードして、署名されたペイロードを確認する
トークンに正しい発行者（iss）とオーディエンス（aud）が設定されていることを確認する
使用された署名鍵を特定するためにkidヘッダーを読む
セッションバグを調査する際に、2つのトークンを並べて比較する
コードを書かずにJWTの構造をチームメイトに教える

よくある質問

このツールは署名を検証しますか？

いいえ。署名を検証するには発行者の秘密鍵（HMACアルゴリズムの場合）または公開鍵（RSAおよびECDSAの場合）が必要です。このツールはヘッダーとペイロードをデコードするだけで、それを読むことができます。ここでデコードしたトークンは、バックエンドが発行者の鍵に対して署名を検証するまで信頼できないものとして扱ってください。

本物のJWTをここに貼り付けるのは安全ですか？

すべてはブラウザ内で実行されます — トークンは決してアップロード、保存、またはログに記録されません。ただし、手元にあるアクセストークンはパスワードと同じくらい強力です：ブラウザにページ内容を読み取る拡張機能がある場合、理論的にはそれを見ることができます。過度に警戒するデバッグを行う場合は、新しいプライベートウィンドウを使用するか、オフラインでデコードしてください。

なぜ署名がテキストではなくバイトとして表示されるのですか？

署名は生のバイナリブロブです — 通常、HS256の場合は32バイト、RS256の場合は256バイトです。トークン内ではbase64urlエンコードされていますが、デコードされた形式は人間が読めるものではないため、ツールは文字化けした文字を表示しようとする代わりにバイト数を報告します。

exp、iat、nbfの違いは何ですか？

これらはRFC 7519からの3つの標準的な時間クレームです。expは有効期限 — この瞬間以降、トークンは無効になります。iatは発行日時 — トークンが作成された時刻です。nbfは使用開始前 — トークンが使用できる最も早い時刻です。これら3つはすべてUnixエポックからの秒数で測定されます。

私のタイムスタンプはかなりずれているようですが — それは間違っていますか？

JWTはエポックからの秒数を使用し、ミリ秒ではありません。このツールは、値が10^12を超えているかどうかを確認することで単位を自動的に検出します（ミリ秒として扱われます）。異なる名前でタイムスタンプを保存する非標準のクレームがある場合、それは日付ではなく生の数値として表示されます。

"not valid base64url"でデコードが失敗するのはなぜですか？

セグメントにはbase64urlアルファベット（A-Z a-z 0-9 - _）の外にある文字が含まれているか、パディングが不足しています。メールクライアントやチャットアプリからのコピー＆ペーストは、静かに空白やスマートクォートを導入することがあります。ブラウザの開発者ツールなどの新しいソースからトークンをコピーしてみてください。

暗号化されたJWT（JWE）をデコードできますか？

いいえ。このツールは署名されたJWT（JWS）をデコードします。JWEトークンは3つのセグメントの代わりに5つのセグメントを持ち、そのペイロードは単にエンコードされるのではなく暗号化されています — 読むには受信者の秘密鍵が必要です。暗号化されたクレームを持つ通常のJWSトークン（Auth0の不透明トークンなど）も、読み取り可能なJSONにはデコードされません。

URLセーフなBase64オプションは必要ですか？

JWTセグメントは常にbase64urlエンコードされているため、ツールが自動的に処理します — オプションは必要ありません。JWTの外で任意のbase64urlテキストをエンコードまたはデコードする必要がある場合は、URLセーフチェックボックスを有効にした別のBase64エンコーダを使用してください。

最終更新 2026-04-21

èªã¿è¾¼ã¿ä¸...

JWT デコーダー

JWTとは何ですか？

JWTデコーダーの使い方

トークンを貼り付ける

Authorizationヘッダー、デバッグログ、またはURLからJWTをコピーします。eyJ...eyJ...signatureのように、3つのセグメントで構成されている必要があります。

ヘッダーとペイロードを確認する

ヘッダーにはアルゴリズム（alg）とトークンタイプ（typ）が表示されます。ペイロードにはすべてのクレーム — sub、iss、aud、exp、iat、および任意のカスタムフィールドがリストされています。

有効期限を一目で確認する

有効性バナーは、トークンが期限切れ、アクティブ、またはまだ有効でない（nbf）かをすぐに教えてくれます。時間クレームはUTCと相対形式の両方で表示されます。

個々のセクションをコピーする

ヘッダーまたはペイロードパネルのコピーボタンを使用して、デバッグ、共有、または別のツールに貼り付けるためのクリーンなJSONを取得します。

JWTの構造

JWTは、ドットで結合された3つのbase64urlセグメントを持っています：
 
    ヘッダー.ペイロード.署名
 
ヘッダー  — 署名アルゴリズムを説明するJSON
          { "alg": "HS256", "typ": "JWT" }
 
ペイロード — クレームを運ぶJSON
          { "sub": "1234", "exp": 1700000000 }
 
署名 — ヘッダー.payloadに対するHMACまたはRSA、base64urlエンコード
 
標準時間のクレーム（エポックからの秒数）：
  exp  = 有効期限
  iat  = 発行日時
  nbf  = 使用開始前

例

入力	出力
ヘッダー: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } HMAC-SHA256トークンの最小ヘッダー。
expクレームを含むペイロード	{ "sub": "1234", "exp": 1700000000 } expはエポックからの秒数 — UTCで2023-11-14。
期限切れのトークン	トークンが期限切れ · 2024-01-01に期限切れ（3ヶ月前） expが過去のものであるとき、有効性バナーが赤に変わります。
不正なトークン（セグメントが2つのみ）	無効なトークン：3つのセグメントが必要ですが、2つしかありません JWTは正確に3つのドットで区切られたbase64url部分を持つ必要があります。

一般的な使用例

OAuthアクセストークンをデバッグして、どのスコープとオーディエンスが含まれているかを確認する

失敗したリクエストが期限切れのトークンによるものかどうかを確認する

OpenID Connect IDトークンを検査して、subやemailなどのユーザークレームを読む

マジックリンクまたはパスワードリセットトークンをデコードして、署名されたペイロードを確認する

トークンに正しい発行者（iss）とオーディエンス（aud）が設定されていることを確認する

使用された署名鍵を特定するためにkidヘッダーを読む

セッションバグを調査する際に、2つのトークンを並べて比較する

コードを書かずにJWTの構造をチームメイトに教える

よくある質問

このツールは署名を検証しますか？

本物のJWTをここに貼り付けるのは安全ですか？

なぜ署名がテキストではなくバイトとして表示されるのですか？

exp、iat、nbfの違いは何ですか？

私のタイムスタンプはかなりずれているようですが — それは間違っていますか？

"not valid base64url"でデコードが失敗するのはなぜですか？

暗号化されたJWT（JWE）をデコードできますか？

URLセーフなBase64オプションは必要ですか？

JWT デコーダー

JWTとは何ですか？

JWTデコーダーの使い方

JWTの構造

例

一般的な使用例

関連ツール

よくある質問

JWT デコーダー

JWTとは何ですか？

JWTデコーダーの使い方

JWTの構造

例

一般的な使用例

関連ツール

よくある質問