JWT デコーダー
JSON Web Token をデコードして中身を確認。
どのページでも使う(ブックマークレット)
見ているページを離れずに JWT デコーダー を使いたいですか? 下のボタンをブックマークバーにドラッグし、どのウェブサイトでもクリックすれば、その場で JWT デコーダー が開きます — すべてブラウザ内だけで動作します。
責任を持って使用してください: ブックマークレットはクリックしたページ上で実行されます。ネットバンキング・決済・医療などの機密性の高いサイトでは使用を避けてください — 使用は自己責任です。処理はすべてローカルで行われ、データはどこにも送信されません。利用規約をご覧ください。
- ブックマークバーが非表示なら表示します — Ctrl+Shift+B(Mac は ⌘+Shift+B)。
- 上のボタンをブックマークバーへドラッグします。
- 任意のウェブサイトを開いてブックマークをクリックすると、右上に JWT デコーダー パネルが表示されます。✛ でコーナーを移動、›/‹ で端に収納して再度引き出せます。
- もう一度ブックマークをクリック(または ✕)すると閉じます。
注: セキュリティポリシーの厳しい一部のサイトではブックマークレットがブロックされることがあります。
使用例
ヘッダー & ペイロードをデコード
入力
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IlJ1bldlYlRvb2xzIn0.abc
出力
Header: { "alg": "HS256", "typ": "JWT" }
Payload: { "sub": "1234567890", "name": "RunWebTools" }アルゴリズム & ロールを確認
入力
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJyb2xlIjoiYWRtaW4ifQ.sig
出力
Header: { "alg": "RS256", "typ": "JWT" }
Payload: { "role": "admin" }このツールについて
この無料オンラインJWTデコーダーは、JSON Web Tokenを読み、ヘッダーとペイロードを整形されたJSONとしてブラウザ内で表示します。トークンを貼り付けるとリアルタイムにデコードされます。すべてアップロードなしにローカルで動作するので、トークンが端末を離れることはありません。
使い方
- JWTを入力欄に貼り付けます(またはサンプルをクリック)。
- デコードされたヘッダーとペイロードを読み、どちらかをコピーします。
- 時間クレームを確認して、トークンの発行・失効の時点を確認します。
デコードのみ — 検証ではない
JWTのペイロードは暗号化ではなくbase64urlエンコードなので、誰でも読めます。このツールは検査のためにデコードしますが、署名(署名鍵が必要)は検証しません。セキュリティ判断には、必ずサーバーでトークンを検証してください。
よくある質問
このJWTデコーダーは無料ですか?
はい — 登録不要の完全無料オンラインJWTデコーダーです。
トークンはサーバーに送信されますか?
いいえ。トークンはすべてアップロードなしにブラウザ内でデコードされるため、端末を離れません — トークンは機密性の高い資格情報なので重要です。
署名を検証しますか?
いいえ。これはデコーダー/インスペクターです — ヘッダーとペイロードを読みますが、シークレットや公開鍵が必要な署名は検証しません。サーバーで検証されていないトークンを決して信頼しないでください。
JWTの中には何が入っていますか?
ドットで区切られた3つのbase64url部分: ヘッダー(アルゴリズムとタイプ)、ペイロード(sub・iat・expなどのクレーム)、署名。このツールはヘッダーとペイロードをデコードします。
ペイロードは暗号化されていますか?
いいえ。標準的なJWTのペイロードは暗号化ではなくbase64urlエンコードされているだけで、誰でも読めます。JWTのペイロードに秘密を入れないでください。
iatとexpは何を意味しますか?
Unixタイムスタンプです: iatはトークンが発行された時刻、expは失効する時刻です。ツールは読みやすい日付で表示し、トークンが失効したかどうかを示します。
別のページで選択したトークンをデコードできますか?
はい — ブックマークレットを追加し、任意のページでトークンを選択してクリックすると、その場で選択部分をデコードします。
関連ツール