ja

JWTをデコード

JSON Web Tokenをブラウザ内でローカルにデコードし、ヘッダーとペイロードを読めるJSONで表示。アップロードは一切なし。

お使いの端末でローカル処理中 ...

0%

ファイルは一度も端末から出ていません

    私のファイルはアップロードされますか?

    いいえ。すべてブラウザ内で動作します。あなたのファイルが端末から出ることはありません。これが検証できる理由

    アップロード不要100%ローカル処理
    中身は手元のまま第三者のアクセスなし
    ドイツのサーバー設計段階からGDPR準拠
    第三者による検証済みTLS A+ · ヘッダー A+

    JSON Web Token (JWT, RFC 7519) は、ピリオドで区切られた3つの部分、ヘッダー、ペイロード、署名から成るコンパクトなトークンです。ヘッダーとペイロードは単にBase64URLでエンコードされたJSON (RFC 7515) であり、秘密ではなく転送に安全な表記にすぎません。このツールは各部分を分割し、ヘッダーとペイロードをデコードして、中身のJSONをきれいに字下げして表示します。どのアルゴリズムが宣言され、どんな主張 (クレーム) を運んでいるかが一目でわかります。

    正直に申し上げます。このツールはデコードするだけで、署名は検証しません。本当の検証には発行者の秘密鍵か公開鍵が必要ですが、このツールは意図的に一切要求しません。つまりデコードできたトークンがそのまま信頼できるトークンになるわけではなく、中身は改ざんされている可能性があります。この表示は理解とデバッグ (どのクレームか、expはいつ切れるか、issは誰か) のために使い、真正性の証明には決して使わないでください。

    処理はすべて純粋なJavaScriptでブラウザ内のローカルで完結します。トークンはアップロードも保存もされず、外部ライブラリをCDNから読み込むこともありません。これはトークンでこそ重要です。アクセストークンやIDトークンを他人のオンラインフォームに入れてはいけないからです。入力が有効なJWTでない場合、ツールは誤った結果を作り出さず、正直にその旨を伝えます。

    技術仕様

    技術仕様
    入力形式テキスト入力
    出力形式JSON
    一括処理非対応
    処理ブラウザ内でローカル処理 (JavaScript)
    ファイルのアップロードなし

    3ステップで

    1. JWTをテキスト欄に貼り付けます。
    2. デコードをクリックします。
    3. ヘッダーとペイロードをJSONとして読むか、ダウンロードします。

    制限: 署名検証なしの純粋なデコードです。このツールはトークンが本物か改ざんされていないかを確認しません。それには発行者の鍵が必要です。有効期限切れかどうかも判定せず、クレームを表示するだけです。暗号化トークン (JWE) は復号しません。ヘッダーとペイロードはBase64URLにすぎず暗号化ではないので、ペイロードには絶対に秘密情報を入れないでください。

    よくある質問

    トークンはアップロードされますか?

    いいえ。デコードはすべてブラウザ内でローカルに実行されます。トークンが端末を離れることはなく、保存もされません。

    署名は検証されますか?

    いいえ。ヘッダーとペイロードをデコードするだけです。署名の検証には発行者の鍵が必要ですが、このツールは意図的に一切要求しません。デコードできたトークンは信頼できるトークンではありません。

    JWTは暗号化されていますか?

    通常はされていません。ヘッダーとペイロードはBase64URLでエンコードされているだけで、誰でも読み戻せます。ですからペイロードに秘密情報を入れないでください。

    exp、iat、issなどのクレームの意味は?

    標準クレームです。issは発行者、iatは発行時刻、expは有効期限 (Unix時間)、subは主体を表します。ツールはそのまま表示し、評価はしません。

    無効な入力ではどうなりますか?

    入力が有効なJWTでない場合 (部分数が違う、Base64URLが壊れているなど)、ツールは誤った結果を出さず、正直にエラーを報告します。

    関連ツール