DevKitBase
ツール概要プライバシー

JWTをデコードしてクレームを読む — デコードを検証と誤解しないで

3つのBase64urlセグメント。ヘッダーとペイロードをJSONにパースし、クレームを整形表示します(`exp`があれば人間が読める時刻に)。**このページでは署名の検証は行いません** — それを強調します。

文字数: 123
JWT

使用タイミング

認証失敗のデバッグや、既に持っているトークンのaud/iss/expを検査するため — セッションの偽造には使用しません。

入力
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0IiwibmFtZSI6IkRldktpdEJhc2UifQ.sig
出力
header: {"alg":"HS256","typ":"JWT"}
payload: {"sub":"1234","name":"DevKitBase"}
署名は未検証として表示される場合があります。

仕組み

`.`で分割 → base64urlデコード → JSON.parseでヘッダー/ペイロード。algがnoneの場合のオプションの警告。署名検証はオプション/限定 — 完全な認証ライブラリではありません。

よくある落とし穴

  • デコード≠検証 — alg=noneを信用しないでください。
  • ペイロードは読み取り可能なBase64です。機密情報はJWTクレームに含めるべきではありません。
  • expは通常エポックからの秒数 — 必要に応じてタイムスタンプツールを使用してください。

他のツールとの違い

JWT用の専用Base64urlピーク。Base64デコードは汎用です。JSONフォーマッターはペイロードJSONの読み取りに役立ちます。

FAQ

デコードはトークンの真正性を証明しますか?
**いいえ。** 誰でもデコードできます。検証には鍵と暗号処理が必要です。
トークンはアップロードされますか?
いいえ。
暗号化JWT(JWE)は?
このページの対象外です。
ここで編集して再署名できますか?
このツールの目的ではありません。
ここで署名付きJWTを作成できますか?
いいえ — このページは検査/デバッグ用であり、本番トークンを発行するためのものではありません。

関連ツール

ブラウザ内で動作。アップロードは行われません。セキュリティ製品ではありません — ハッシュやJWTデコードはデバッグ用であり、パスワード保存や認証のアドバイスではありません。