JWTデコーダー・ジェネレーター

JWT（JSON Web Token）は、RFC 7519で定義されたトークン形式で、主にWeb認証・認可で使われます。コンパクトでURLセーフな形式で、JSON形式のクレーム（情報）を安全に転送できます。

JWTはOAuth 2.0、OpenID Connect、APIの認証トークンなどで広く利用されています。Firebase Auth、Auth0、AWS Cognitoなどの認証サービスもJWTを発行します。

JWTはドット（.）で区切られた3つのBase64urlエンコード済みパートで構成されます。

• Header（ヘッダー）：署名アルゴリズム（alg）やトークン種別（typ）を含むJSONオブジェクト。例: {"alg":"HS256","typ":"JWT"}
• Payload（ペイロード）：クレーム（claims）と呼ばれるデータを含むJSONオブジェクト。ユーザーIDや有効期限などの情報が格納されます。
• Signature（署名）：ヘッダーとペイロードを秘密鍵で署名したもの。改ざん検知に使われます。

形式: xxxxx.yyyyy.zzzzz（ヘッダー.ペイロード.署名）

本ツールはJWTトークンをクライアントサイド（ブラウザ内）でデコードします。サーバーへのデータ送信は一切行いません。

• トークンをドットで3つのパートに分割
• 各パートをBase64urlデコードしてJSONに変換
• タイムスタンプクレーム（exp, iat, nbf）を人間が読める日時に変換
• 有効期限の判定（期限切れ / 有効）

注意: 署名の検証は行いません。署名検証には秘密鍵または公開鍵が必要であり、ブラウザ上での安全な検証には適さないためです。

JWTペイロードには「クレーム」と呼ばれるキーバリューペアが含まれます。RFC 7519で定義された登録済みクレームは以下の通りです。

• iss（Issuer）：トークンの発行者
• sub（Subject）：トークンの主体（通常はユーザーID）
• aud（Audience）：トークンの受信者
• exp（Expiration Time）：有効期限（Unixタイムスタンプ）
• nbf（Not Before）：この時刻より前は無効
• iat（Issued At）：発行時刻
• jti（JWT ID）：トークンの一意識別子

これら以外にも、アプリケーション固有のカスタムクレーム（name, email, roleなど）を自由に追加できます。

JWTデコーダーを使用する際は、以下の点にご注意ください。

• 本番環境のトークンは慎重に：JWTのペイロードは暗号化されていないため、デコードすると個人情報やセッション情報が閲覧できます。機密性の高い本番トークンの取り扱いには注意してください。
• 署名は検証されません：本ツールはデコードのみを行い、署名の正当性は検証しません。トークンの信頼性を確認するには、サーバー側で署名を検証する必要があります。
• クライアント側で完結：本ツールはすべての処理をブラウザ内で行います。入力されたトークンがサーバーに送信されることはありません。
• JWTは暗号化ではない：JWTはBase64urlでエンコードされているだけで、暗号化されていません。誰でもデコード可能です。機密情報はペイロードに含めないでください。