JWT デコーダー

オンライン JWT(JSON Web Token)デコーダー。JWT の解析と検証をサポートし、純粋なフロントエンド実装で安全で信頼性があります

ENCODED

HEADER

デコードされた JWT の内容がここに表示されます

PAYLOAD

ペイロードの内容がここに表示されます

VERIFY SIGNATURE

JWT の署名に使用された秘密鍵を入力してください

秘密鍵のエンコード形式を選択してください

JWT デコーダー ナレッジベース

JWT デコードとは?

JWT デコードは、JWT トークンをその構成要素(ヘッダー、ペイロード、署名)に分解し、その内容を表示するプロセスです。JWT のヘッダーとペイロード部分は単に Base64 エンコードされた JSON データであるため、デコードには秘密鍵は必要ありません。

JWT 構造の分解

ヘッダー:トークンタイプ(typ)と署名アルゴリズム(alg)の情報を含む

ペイロード:ユーザー情報、有効期限などのクレームを含む

署名:トークンの整合性を検証するために使用され、検証には秘密鍵が必要

JWT の主な使用シナリオ

  • 認証:ユーザーがログイン後、サーバーが JWT を生成してクライアントに返し、その後のリクエストでこのトークンを使用して認証を行う
  • 情報交換:異なるサービス間で安全に情報を伝送する。JWT は署名で検証できるため
  • シングルサインオン(SSO):ユーザーが一つのアプリケーションでログインした後、他の関連アプリケーションに再ログインすることなくアクセスできる
  • API 認可:RESTful API にステートレスな認可メカニズムを提供
  • モバイルアプリ認証:モバイルアプリとバックエンドサービス間の安全な通信
  • マイクロサービスアーキテクチャ:マイクロサービス間でユーザーの身元と権限情報を伝達

一般的な JWT アルゴリズムの詳細

対称暗号化アルゴリズム(HMAC)

  • HS256(HMAC-SHA256):最も一般的に使用されるアルゴリズム。共有秘密鍵を使用して署名と検証を行う
  • HS384(HMAC-SHA384):より強力なハッシュアルゴリズム。より高いセキュリティを提供
  • HS512(HMAC-SHA512):最も強力な HMAC アルゴリズム。高セキュリティ要件のシナリオに適している

非対称暗号化アルゴリズム(RSA)

  • RS256(RSA-SHA256):RSA 秘密鍵で署名し、公開鍵で検証。分散システムに適している
  • RS384(RSA-SHA384):より強力な RSA 署名アルゴリズム
  • RS512(RSA-SHA512):最も強力な RSA 署名アルゴリズム

楕円曲線アルゴリズム(ECDSA)

  • ES256(ECDSA-SHA256):楕円曲線デジタル署名を使用。RSA よりも性能が優れている
  • ES384(ECDSA-SHA384):より強力な楕円曲線署名アルゴリズム
  • ES512(ECDSA-SHA512):最も強力な楕円曲線署名アルゴリズム

一般的なペイロードフィールド

  • iss(Issuer):トークン発行者
  • sub(Subject):トークンの主題、通常はユーザー ID
  • aud(Audience):トークンの受信者
  • exp(Expiration):トークンの有効期限
  • iat(Issued At):トークンの発行時刻
  • nbf(Not Before):トークンの有効開始時刻
  • jti(JWT ID):JWT の一意識別子

JWT セキュリティのベストプラクティス

  • 強力な鍵を使用:HMAC アルゴリズムは少なくとも 256 ビット鍵、RSA は少なくとも 2048 ビット鍵を使用
  • 合理的な有効期限を設定:トークンの長期有効を避け、アクセストークンは 15-30 分で期限切れにすることを推奨
  • HTTPS を使用:常に HTTPS を通じて JWT を送信し、中間者攻撃を防ぐ
  • すべてのクレームを検証:iss、aud、exp などの重要なフィールドをチェック
  • トークン取り消しメカニズムを実装:ブラックリストを維持するか、短期トークンとリフレッシュトークンを組み合わせて使用
  • 機密情報の保存を避ける:JWT の内容はデコード可能なため、パスワードや個人の機密情報を保存しない
  • 適切なアルゴリズムを使用:本番環境では "none" アルゴリズムの使用を避ける
  • 定期的な鍵のローテーション:定期的に署名鍵を変更して漏洩リスクを軽減

セキュリティ注意事項

  • JWT のヘッダーとペイロード部分は Base64 エンコードされており、誰でもデコードして閲覧できます
  • JWT にパスワード、クレジットカード番号などの機密情報を保存しないでください
  • JWT のデコードは JWT の検証と同じではありません。検証には秘密鍵が必要です
  • 常に JWT の有効期限やその他の重要なフィールドをチェックしてください
  • アルゴリズム混同攻撃を防ぐ:アルゴリズムタイプを厳密に検証
  • 時計のずれに注意:時間クレームを検証する際はサーバー時計の差異を考慮

実際の応用事例

Web アプリケーション認証

ユーザーがログイン後、サーバーがユーザー ID と権限を含む JWT を生成し、フロントエンドが localStorage または sessionStorage に保存し、その後の API リクエストで Authorization ヘッダーにこのトークンを含める。

マイクロサービス間通信

API ゲートウェイがユーザー身元を検証した後、ユーザー情報を含む JWT を生成して下流サービスに渡し、各サービスは再度ユーザー身元を検証する必要がなく、JWT 署名のみを検証すればよい。

モバイルアプリ API アクセス

モバイルアプリがユーザー名とパスワードを通じて JWT を取得し、その後の API 呼び出しでこのトークンを含め、サーバーがトークンの有効性と権限を検証する。

権威ある情報源