JWTデコーダー

JSON Web Tokenを3つのコンポーネント（ヘッダー、ペイロード、署名）に解析し、バックエンドサービスなしでクレームとメタデータを検査できます。Base64urlデコードを処理し、JSONを整形表示し、標準的な時間クレーム（iat、exp、nbf）を人間が読める形式で表示します。

用途

APIデバッグ：OAuth 2.0 / OpenID Connectフローからのアクセストークンを検査し、クレーム、スコープ、有効期限を検証
認証トラブルシューティング：トークンが期限切れか、正しいプロバイダー（iss）から発行されたか、正しいオーディエンス（aud）に向けられているかを確認
JWT構造の学習：各パートの視覚的な分解でJWTの構成を理解
CI/CDとDevOps：本番環境にデプロイする前にパイプラインで生成されたトークンを検証

使い方ガイド

JWTトークンを入力フィールドに貼り付けます（Bearerプレフィックスは自動的に除去されます）
ヘッダー、ペイロード、署名が即座にデコードされます
ペイロードセクションで解析されたクレームを確認します
バッジと相対時間で表示される有効期限ステータスを確認します
個別のセクションまたは完全なデコード出力をコピーします

仕組み

JWTはドットで区切られた3つのBase64urlエンコードされたセグメントで構成されています。このツールはトークンを分割し、各セグメントを標準的なBase64urlアルファベットでデコードし、結果のJSONを解析します。すべての処理はブラウザ内で完結します — データはサーバーに送信されません。ツールはBearerプレフィックスを自動的に除去し、有効期限のステータスをリアルタイムで表示します。注意：このツールはトークンをデコードしますが、署名の検証は行いません。署名検証にはシークレットキーまたは公開鍵が必要であり、Webツールに入力すべきではありません。

ヒントとベストプラクティス

Authorizationヘッダーの完全な値を貼り付けることができます — Bearerプレフィックスは自動的に除去されます
時間クレーム（iat、exp、nbf）はUNIXタイムスタンプと人間が読める日付の両方で表示されます
JWTクレームのテスト値を作成するには、このツールを日付→タイムスタンプコンバーターと一緒に使用してください
本番環境のシークレットキーをWebツールに貼り付けないでください — トークン自体のみを貼り付けてください

よくある質問

JWTをここに貼り付けても安全ですか？

はい。すべてがブラウザ内で100%クライアントサイドで実行されます。トークンはサーバーに送信、保存、記録されることはありません。ブラウザの開発者ツールのネットワークタブで確認できます。

JWTのデコードと検証の違いは何ですか？

デコードは単にBase64urlデコードでヘッダーとペイロードを読み取ります — 誰でも可能です。検証はシークレット（HMAC）または公開鍵（RSA/EC）に対して署名をチェックし、トークンが改ざんされていないことを確認します。このツールはデコードのみ行います。

標準的なJWTクレームとは何ですか？

RFC 7519で定義されている登録済みクレームは：iss（発行者）、sub（主題）、aud（オーディエンス）、exp（有効期限）、nbf（有効開始日時）、iat（発行日時）、jti（JWT ID）です。アプリケーションは必要なカスタムクレームを追加できます。

期限切れのトークンをデコードできますか？

はい。期限切れのトークンは通常通りデコードされます — ツールは期限切れバッジを表示し、相対時間インジケーターでトークンの期限切れ時刻を表示します。

プライバシーとセキュリティ

このツールはWebAssembly（WASM）にコンパイルされたFFmpegを使用しています。WASMバイナリ（約25MB）は初回使用時にCDNからダウンロードされ、ブラウザにキャッシュされます。すべてのファイル処理はお使いのデバイス上でローカルに行われ、ファイルがサーバーにアップロードされることは一切ありません。そのため、機密性の高いメディアファイルも安全に処理できます。大きなファイルの場合、デバイスのCPUや利用可能なメモリによって処理に時間がかかることがあります。

JWTデコーダー

Header

Payload

Signature