Question 1

JSON Web Tokens (JWT)

Accepted Answer

JWT（JSON Web Token）は、RFC 7519で定義されたコンパクトでURL安全なトークン形式です。ドットで区切られた3つのbase64urlエンコードされた部分で構成されます：header.payload.signature。JWTは認証と情報交換に広く使用されています。

Question 2

構造

Accepted Answer

ヘッダー（Header） — トークンタイプ（typ）と署名アルゴリズム（alg）を含むJSONオブジェクト（例：HS256、RS256）。ペイロード（Payload） — クレームを含むJSONオブジェクト：登録クレーム（iss発行者、sub主体、exp有効期限、iat発行日時）とカスタムクレーム。署名（Signature） — エンコードされたヘッダーとペイロードを秘密鍵で署名した結果。トークンが改ざんされていないことを保証します。

Question 3

⚠ セキュリティに関する注意

Accepted Answer

デコードは検証と同じではありません。このツールはトークンをデコードして内容を表示しますが、署名を検証しません。誰でも任意のクレームを持つJWTを作成できます。適切な秘密鍵または公開鍵を使用してサーバー側で署名を検証せずにJWTクレームを信頼しないでください。本番環境ではjsonwebtoken（Node.js）やPyJWT（Python）などのライブラリを使用してください。

Question 4

登録済みJWTクレーム

Accepted Answer

RFC 7519は7つの登録済みクレームを定義しています：iss（発行者）— トークンの作成者。sub（主体）— トークンが表すユーザーまたはエンティティ。aud（対象者）— 意図された受信者。exp（有効期限）— トークンが無効になるUnixタイムスタンプ。nbf（有効開始時刻）— この時刻より前はトークンが無効。iat（発行時刻）— トークンが作成された時刻。jti（JWT ID）— リプレイ攻撃を防ぐための一意識別子。

Question 5

How to decode a JWT token

Accepted Answer

Paste your JWT token (the long string starting with eyJ...) into the input field. The header, payload, and signature are decoded and displayed instantly. The tool also shows whether the token is expired based on the exp claim. Remember: decoding only reveals the contents — always verify signatures server-side.

JWTデコーダー

ヘッダー

ペイロード

署名

JSON Web Tokens (JWT)

構造

⚠ セキュリティに関する注意

登録済みJWTクレーム

プライバシー