エンコードされたトークン
無効なJWT

データなし

署名検証 (OPTIONAL)

以下にJWT署名に使用したシークレットを入力してください:

シークレットキー

検証はブラウザ内でのみ行われます。トークンは外部サーバーに送信されません。

デコードされたヘッダー
データなし
デコードされたペイロード
データなし
署名
データなし
JWTとは?

JWT(JSON Web Token)は、二者間で情報を安全に伝送するためのオープンスタンダード(RFC 7519)です。デジタル署名されているため、検証と信頼が可能です。JWTはHMACアルゴリズムまたはRSA/ECDSAの公開鍵/秘密鍵ペアで署名できます。

xxxxx.yyyyy.zzzzz

Header: アルゴリズムとトークンタイプ情報
Payload: クレーム(ユーザー情報とメタデータ)
Signature: トークン整合性検証用の署名
登録済みクレーム
iss

発行者(Issuer)- トークンを発行した主体

sub

主題(Subject)- トークンの主体(通常はユーザーID)

aud

対象者(Audience)- トークンの受信者

exp

有効期限(Expiration)- トークン有効期限のUnixタイムスタンプ

nbf

有効開始(Not Before)- この時間前はトークン無効

iat

発行時刻(Issued At)- トークン発行のUnixタイムスタンプ

jti

JWT ID - トークンの一意識別子

JWTの使用例
  • 認証

    ユーザーログイン後にJWTを発行し、以降のリクエストで身元確認

  • 情報交換

    署名により送信者確認とコンテンツ改ざん検出が可能

  • シングルサインオン(SSO)

    単一のトークンで複数サービス間の認証を維持

  • API認可

    マイクロサービス間の安全なAPI呼び出し認証

セキュリティ上の注意
  • JWTはエンコードされているだけで暗号化されていません。機密情報(パスワード、クレジットカードなど)をペイロードに含めないでください。
  • 少なくとも256ビット以上の強力なシークレットキーを使用してください。
  • 適切なトークン有効期限(exp)を設定し、リフレッシュトークンパターンの使用を検討してください。
  • XSS攻撃防止のため、localStorageではなくhttpOnlyクッキーにトークンを保存することを推奨します。
  • 本番環境では必ずHTTPSを使用し、ネットワーク上でのトークン漏洩を防いでください。
対応アルゴリズム

HS256

HMAC + SHA-256。最も一般的に使用される対称鍵アルゴリズム

HS384

HMAC + SHA-384。HS256より長いハッシュでセキュリティ強化

HS512

HMAC + SHA-512。最長のハッシュを使用する対称鍵アルゴリズム

このツールはHMACベースの対称アルゴリズム(HS*)のみサポートしています。RSA/ECDSAベースの非対称アルゴリズムには別途公開鍵/秘密鍵ペアが必要です。