← Web / Markdown
JWT デコーダ
JSON Web Token を貼り付けると header / payload を即座に展開し、alg や exp などのセキュリティ上の懸念点も自動で検出します。
header.payload.signature の 3 セグメントをドット区切りで貼り付け
⚠️ JWT には機密情報(個人 ID・スコープ等)が含まれる可能性があります。本ツールはブラウザ内処理ですが、共用 PC では使用後に「クリア」してください。
サンプル
JWT を貼り付けると解析結果が表示されます。
このツールについて
JWT(JSON Web Token、RFC 7519)を貼り付けると、3 つのセグメント(header / payload / signature)を base64url デコードして表示し、典型的なセキュリティ問題を検出します。署名検証には鍵が必要なため本ツールでは行いません。
検出するチェック項目
- alg=none — 署名なしの危険なトークン(CVE-2015-9235 系の典型)
- HMAC(HS*) — 共通鍵漏洩リスクの注意
- exp — 有効期限切れ/残り時間
- nbf — 未来の不正なトークン
- iat — 時計ズレ検出
- iss / sub / aud — 推奨クレームの欠落
JWT の構造
header.payload.signature- header:
{"alg":"HS256","typ":"JWT"}等のメタ情報 - payload: クレーム(sub / iss / exp 等)と任意フィールド
- signature:
HMAC(base64url(header) + "." + base64url(payload), 鍵)等
注意
- JWT には署名はあっても暗号化はされていないのが一般的です。payload は誰でも読めます。秘密情報を入れないでください。
- 本ツールはサンプル以外の入力を localStorage に保存しません。共用 PC でも安全に使えます。
- すべての処理はブラウザ内で行われ、入力内容は外部に送信されません。