JWTをデコードしてクレームを読む — デコードを検証と誤解しないで
3つのBase64urlセグメント。ヘッダーとペイロードをJSONにパースし、クレームを整形表示します(`exp`があれば人間が読める時刻に)。**このページでは署名の検証は行いません** — それを強調します。
文字数: 123
使用タイミング
認証失敗のデバッグや、既に持っているトークンのaud/iss/expを検査するため — セッションの偽造には使用しません。
例
仕組み
`.`で分割 → base64urlデコード → JSON.parseでヘッダー/ペイロード。algがnoneの場合のオプションの警告。署名検証はオプション/限定 — 完全な認証ライブラリではありません。
よくある落とし穴
- デコード≠検証 — alg=noneを信用しないでください。
- ペイロードは読み取り可能なBase64です。機密情報はJWTクレームに含めるべきではありません。
- expは通常エポックからの秒数 — 必要に応じてタイムスタンプツールを使用してください。
他のツールとの違い
JWT用の専用Base64urlピーク。Base64デコードは汎用です。JSONフォーマッターはペイロードJSONの読み取りに役立ちます。
FAQ
デコードはトークンの真正性を証明しますか?
**いいえ。** 誰でもデコードできます。検証には鍵と暗号処理が必要です。
トークンはアップロードされますか?
いいえ。
暗号化JWT(JWE)は?
このページの対象外です。
ここで編集して再署名できますか?
このツールの目的ではありません。
ここで署名付きJWTを作成できますか?
いいえ — このページは検査/デバッグ用であり、本番トークンを発行するためのものではありません。
関連ツール
ブラウザ内で動作。アップロードは行われません。セキュリティ製品ではありません — ハッシュやJWTデコードはデバッグ用であり、パスワード保存や認証のアドバイスではありません。