JWTデコーダー
JWTデコーダーは、JSON Web Tokenを色分けされたHeader、Payload、Signatureセクションに解析し、リアルタイムで表示します。exp/iat/nbfタイムスタンプを人間が読みやすいローカル時間に自動変換しライブカウントダウン表示、RFC 7519の説明付きクレームテーブル、alg:none攻撃などのセキュリティ警告、HMAC署名検証機能を提供します。すべて100%クライアントサイドで処理され、トークンがブラウザの外に出ることはありません。
ご提案はありますか?
新しいツールのリクエストや改善提案をお待ちしています — Slackコミュニティにご参加ください!
JWTデコーダーとは?
JWTデコーダーは、JSON Web Token(JWT)をHeader、Payload、Signatureの3つのコンポーネントに解析するツールです。JWTはオープンスタンダード(RFC 7519)であり、JSONオブジェクトとして当事者間で安全に情報を伝送するために使用されます。このツールはBase64URLエンコードされたヘッダーとペイロードをデコードし、すべてのクレームを読みやすい形式で表示し、Unixタイムスタンプを人間が読める日時にリアルタイムカウントダウン付きで自動変換し、alg:none攻撃などのセキュリティ問題を分析し、HMAC署名を検証します。すべての処理はWeb Crypto APIを使用してブラウザ内で完結します。
JWTデコーダーの使い方
- 入力フィールドにJWTトークンを貼り付けると、色分けされたセクションで即座にデコードされます
- Header(赤)でアルゴリズムとタイプ、Payload(紫)で全クレームを確認します
- クレームテーブルで人間が読みやすいタイムスタンプと、ライブカウントダウン付きの有効期限ステータスを確認します
- セキュリティ警告でexp欠落やalg:noneなどの潜在的な脆弱性を確認します
- 検証タブに切り替えて、シークレットキーでHMAC署名の有効性を確認します
- ビルドタブでヘッダーとペイロードのJSONを編集して新しいJWTトークンを作成します
よくある質問
JWTトークンをここに貼り付けても安全ですか?
はい。すべてのデコードと検証はJavaScriptを使用してブラウザ内で完結します。トークンがサーバーに送信されることはありません。ブラウザのDevToolsのネットワークタブで確認できます。
署名検証に対応しているJWTアルゴリズムは?
クライアントサイドのHMAC検証はWeb Crypto APIを使用してHS256、HS384、HS512に対応しています。RSA(RS256/RS384/RS512)およびECDSA(ES256/ES384/ES512)アルゴリズムはデコード可能ですが、公開鍵によるサーバーサイド検証が必要です。
トークンが有効期限切れと表示されるのはなぜですか?
exp(有効期限)クレームにはUnixタイムスタンプが含まれています。現在時刻がこのタイムスタンプを超えている場合、トークンは有効期限切れです。ライブカウントダウンで期限切れからの正確な経過時間が表示されます。期限切れのトークンはサービスで受け入れるべきではありません。
alg:none脆弱性とは何ですか?
alg:none攻撃は、アルゴリズムが「none」に設定されたトークンを受け入れるJWTライブラリの脆弱性を悪用し、署名検証を事実上回避するものです。このツールはこれを重大なセキュリティ警告としてフラグ表示します。本番システムではalg:noneのトークンを常に拒否すべきです。
このツールでJWTトークンを作成できますか?
はい。ビルドタブでヘッダーとペイロードのJSONを編集し、HMACアルゴリズム(HS256/HS384/HS512)を選択し、シークレットキーを入力して、署名付きJWTトークンを生成できます。署名処理はWeb Crypto APIを使用してブラウザ内で完結します。