JWTデコーダー

JWTデコーダーガイド

JWT (JSON Web Token) は認証や認可フローで広く使われるトークン形式です。ドット (`.`) 区切りの文字列で、header と payload は Base64URL エンコードされた JSON です。開発中はトークン内部クレームを素早く確認したい場面が多く、デコーダーがあるとAPIデバッグやセッション確認がかなり楽になります。

こんな場面で便利です

• ログイン後に発行された access token の exp、iat、aud を確認したいとき
• APIリクエストの Bearer token にどんなユーザー情報やクレームが入っているか見たいとき
• issuer、audience、scope がフロントエンドとバックエンドで一致しているか確認したいとき
• 認証失敗の原因を期限や時間系クレームから切り分けたいとき

よく見るクレーム

• `iss` はトークン発行者を示します。
• `sub` はユーザーIDやリソースIDなどの対象を示します。
• `aud` はそのトークンを受け取るべきサービスやアプリです。
• `exp`、`iat`、`nbf` は時間系クレームで、認証バグの原因になりやすい項目です。
• `jti` はトークン自体の一意識別子として使われることがあります。

このツールの限界

• デコードはしますが、署名検証や issuer 検証は行いません。
• 暗号化された JWE トークンは通常の JWT/JWS のようには読めません。
• payload が見えることと、トークンが信頼できることは別です。最終的な検証はサーバー側で必要です。

実務向けセキュリティの注意

• 本番トークンの共有は避け、可能ならテスト用やマスク済みのトークンを使ってください。
• クライアントでJWTを読めても、最終的な権限判定はサーバーで再検証するべきです。
• exp だけでなく、iss、aud、nbf、署名検証も合わせて確認してください。