JWT デコーダー
標準の3パート JWT をローカルでデコードし、整形済み Header/Payload JSON、生の Signature、exp/nbf/iat の時刻を検証なしで確認します。
入力テキスト
文字
0 / 16,000
注: このツールはトークンをデコードして表示するだけです。署名は検証されず、デコードされたクレームは、信頼できるバックエンドが検証するまで偽造される可能性があります。
JWT デコーダードット区切り3パートの完全な JWT を貼り付けます。Header と Payload の JSON を確認します。Signature は未検証の原文表示です。exp/nbf/iat をローカル時刻と UTC で確認します。必要な部分をコピーし、機密 token は完了後にクリアします。
かんたんスタート
1
2
3
4
よくある利用シーン
API デバッグ
トークン内容を確認し、claims を比較
期限確認
exp と nbf で期限切れまたは未有効を確認
JWT 学習
Header/Payload構造と Base64URL エンコードを理解
環境比較
dev/test/prod間でトークンを比較
使い方のヒント
デコードされたペイロードは読み取り可能ですが、信頼できません。運用システムは署名を検証し、バックエンドで iss、aud、sub、scope、および失効ルールを検証する必要があります。
機密データを含むトークンを公共デバイスで貼り付けない
時刻フィールドは Unix タイムスタンプ(秒)です。ローカル時刻と UTC に変換します。
デコード仕様
入力は header.payload.signature 形式のコンパクトな3パート JWT である必要があります。5パートの JWE や独自トークン形式は対象外です。
Header と Payload は Base64URL を UTF-8 としてデコードし、JSON として解析します。いずれかが有効な Base64URL または JSON でない場合、元の入力を残したまま対応するエラーを表示します。
Signature パネルは 3 番目のセグメントを原文のまま表示します。secret、公開鍵、JWK、JWKS、Web Crypto による検証は行いません。
セキュリティ境界
JWT のデコードはブラウザ内でローカルに実行されます。token 入力は、ブラウザの下書きとして残る場合があります。保存済みワークスペースまたは WebDAV 同期を有効にしている場合、token 入力はその同期を通じて保存される場合があります。Header、Payload、Signature の表示データ、claim の時刻カード、解析エラー、コピー状態、元に戻す履歴は現在の token から派生し、個別の結果データとしては保存されません。このツールは署名を検証せず、JWKS や URL を取得せず、token をアップロードせず、添付ファイルやデコード済みファイルのダウンロードを作成しません。共有端末では、確認後に token とサイトデータを消去してください。
トークンに機密情報が含まれている場合は、プライベート デバイスを使用し、検査後に入力をクリアします。
デコードは claims を読める形にするだけです。トークンがサーバーで発行されたこと、API に受け入れられること、信頼できることは証明しません。
alg、kid、iss、aud、sub、scope、roles、jti は通常の JSON フィールドとして表示されます。バックエンド、issuer metadata、鍵、audience ルール、失効ポリシーで検証してください。
時間ステータスはローカル時計で exp と nbf を評価します。サーバーの clock skew、猶予期間、ログイン状態の失効、refresh token 状態で実際の結果は変わります。
ここではサポートしません: 署名検証、secret/公開鍵入力、JWK/JWKS 参照、OIDC discovery、OAuth introspection、JWE 復号、ネスト JWT 解析、トークン生成、サーバー側検証。
制限事項と互換性
Base64URL デコードのみ — 署名検証なし
標準3パート JWT のみサポート;JWE やカスタム形式は非対応
ネストされた JWT(payload内の JWT)は処理しない
時間ステータスは完全な有効性チェックではありません。トークンの有効期限が切れていなくても、サーバーによって拒否される場合があります。
このページはコピー操作のみ対応します。デコード済みトークンファイルのダウンロード、エクスポート、保存、共有は行いません。
プライバシーとセキュリティ
JWT のデコードはブラウザ内でローカルに実行されます。token 入力は、ブラウザの下書きとして残る場合があります。保存済みワークスペースまたは WebDAV 同期を有効にしている場合、token 入力はその同期を通じて保存される場合があります。Header、Payload、Signature の表示データ、claim の時刻カード、解析エラー、コピー状態、元に戻す履歴は現在の token から派生し、個別の結果データとしては保存されません。このツールは署名を検証せず、JWKS や URL を取得せず、token をアップロードせず、添付ファイルやデコード済みファイルのダウンロードを作成しません。共有端末では、確認後に token とサイトデータを消去してください。
トークンに機密情報が含まれている場合は、プライベート デバイスを使用し、検査後に入力をクリアします。
よくある質問
JWT には、ドットで区切られた 3 つの Base64URL 部分 (header.payload.signature) が含まれている必要があります。余分なスペースや改行を削除し、ペイロードや Authorization ヘッダー プレフィックスだけを貼り付けていないことを確認してください。
サーバーでは clock skew、キャッシュ済みログイン状態、refresh token フロー、独自の猶予期間が許可される場合があります。このデコーダーはローカル時計で exp claim を読むため、サーバーアクセスの最終判断ではなく内容確認に使ってください。