このツールに問題がありますか?
「JWTデコード オンライン」について
このツールは JSON Web Token (JWT) をヘッダー/ペイロード/署名の 3 つの構成要素に分解します。アプリの認証フローや Authorization ヘッダ、Cookie の JWT を貼り付けると、ヘッダーとペイロードの JSON 内容、生の署名バイトが表示されます。
JWT は認証、セッション、API 認可で広く使われます。デコード(検証ではない)により、ユーザー ID・期限・スコープ・カスタムクレームなど何が乗っているかが分かり、認証問題のデバッグや実際の送信内容の確認に役立ちます。
重要:このツールはデコードのみで署名検証は行いません。デコード結果は発行者の主張を見せるだけで、真正性は別途検証してください(サーバ側で発行者の公開鍵を用いて)。
このツールの使い方
JSON Web Token のヘッダとペイロードを確認する手順
JWT を貼り付け
「Token」欄にトークンを貼り付け。JWT は `xxx.yyy.zzz` の形(base64url 3 セグメントをドット区切り)。ツールはドットで分割し、最初の 2 つをデコードします。
「実行」
結果は `header`(アルゴリズム・タイプ。例:`{ "alg": "HS256", "typ": "JWT" }`)と `payload`(`sub`、`exp`、`iat` 等の標準クレーム + アプリ固有)。3 つ目のセグメント(署名)は検証も表示もしません。
これは何ではない
デコード ≠ 検証。トークンを持つ誰でも payload を読めます。真正性を担保するのは署名で、共有鍵/公開鍵が必要です。署名未検証のトークンを信用しないこと — jwt-encoder か認証ライブラリで、自前のサーバで検証してください。
確認すべき主なクレーム
`exp` は Unix タイムスタンプで、期限切れトークンは署名が有効でも受け付けないこと。`iss` は想定する発行者と一致、`aud` は自サービスと一致しているか。payload は良いのに認証が失敗するなら、署名が間違っているのであってクレームは無関係です。