JWT デコーダ
ヘッダー、ペイロード、有効期限はオフラインでデコードされます。トークンがブラウザーから離れることはありません。
Signature (base64url — verify server-side)
トークンを貼り付けると、デコードされたヘッダーとペイロード、相対的な経過時間とともにローカル タイムゾーンに変換されたすべての時間要求、見逃せない期限切れバッジ、トークンが危険なしアルゴリズムを使用している場合のセキュリティ警告など、すべてが表示されます。デコードは完全にデバイス上で行われます。DevTools を開いて、ネットワーク リクエストがゼロであることを確認してください。トークンが属する API をテストしますか? cURL からコードへのコンバーターが隣にあります。
よくある質問
本物の JWT をここに貼り付けても安全ですか?
トークンはブラウザ内で完全にデコードされます。ネットワーク リクエストは行われず、ログや保存も行われず、ページは読み込まれるとオフラインで動作します。ただし、習慣として本番トークンをパスワードのように扱うようにしてください。オンライン ツールでデバッグする場合は、期限切れのトークンまたはステージング トークンを優先してください。
JWT の内部には一体何が入っているのでしょうか?
ドットで区切られた 3 つの Base64URL 部分: ヘッダー (アルゴリズム + タイプ)、ペイロード (クレーム - ユーザー ID、ロール、有効期限)、および署名。最初の 2 つはエンコードされているだけで、暗号化されていません。トークンを持っている人なら誰でも読み取ることができます。これがまさにこのデコーダーが示していることです。
これで署名が検証されますか?
いいえ — 検証には秘密キーまたは公開キーが必要ですが、これを Web ページに貼り付けることはできません。このツールはクレームをデコードして検査します (デバッグ 95%)。フレームワークの JWT ライブラリを使用してサーバー側の署名を検証します。
alg=none に赤いフラグが付いているのはなぜですか?
悪名高い「アルゴリズムなし」攻撃: 一部の古いライブラリは、ヘッダーにアルゴリズムなしが要求されている場合に署名のないトークンを受け入れ、攻撃者があらゆる ID を偽造できるようにしていました。サーバーはそのようなトークンを完全に拒否する必要があります。赤い旗は、自分のトークンを確認するよう警告します。
exp、iat、nbf は何を意味しますか?
有効性を管理する Unix タイムスタンプ: iat = 発行時、nbf = 以前は無効、exp = 有効期限。デコーダは、相対的な説明 (「2 時間前」) を付けてそれぞれを現地時間に変換し、該当する場合は明確な期限切れバッジを表示します。