JWTを入力

デコードしたいJWTをそのまま貼り付けてください。

入力欄

JWTは通常、header.payload.signature の3つの文字列で構成されています。

デコード結果

JWTの中身を確認したいときに使う

JWTはログイン認証、API認証、OIDC、OAuth連携などでよく使われるトークンです。ただ、文字列のままではヘッダーやペイロードに何が入っているか分かりにくく、「JWTを読みたい」「トークンの中身を確認したい」という場面がよくあります。

このツールでは、JWTを貼り付けてデコードし、alg、typ、sub、iss、aud、exp などの値を確認できます。ログインまわりの実装確認や、APIから返ってきたアクセストークンの内容確認に向いています。

API認証・OIDC・デバッグでの利用シーン

Webアプリのログイン実装、バックエンドAPIの認証確認、OIDCのIDトークン確認、勉強会や社内説明用のサンプル確認などで使えます。認証エラーが起きたときに、期限切れか、発行者が違うか、想定したユーザーIDが入っているかを切り分けたい場合にも便利です。

たとえば「APIのBearerトークンが想定通りか確認したい」「JWTのexpを見て有効期限を確認したい」「ペイロードのclaimを読みたい」といった作業を、ブラウザだけで行えます。

ファイルの扱いとセキュリティ

UtiLabのJWTデコードツールは登録不要で、スマホやPCのブラウザからそのまま使えます。入力したJWTはブラウザ上で処理され、サーバー保存を前提にしない軽量な確認用ツールです。

ただし、JWTにはユーザーIDや権限、メールアドレスなどの情報が含まれることがあります。本番環境のアクセストークンやIDトークンを扱う場合は、必要な範囲だけ確認し、共有端末や画面共有中の貼り付けには注意してください。

署名検証とデコードの違い

このツールはJWTを読みやすく表示するためのデコードツールです。ヘッダーとペイロードの内容確認には使えますが、秘密鍵や公開鍵を使った署名検証は行いません。

「このJWTが改ざんされていないか」「信頼できる発行元のトークンか」まで確認する場合は、認証サーバーの公開鍵、issuer、audience、署名アルゴリズムなどを使って、実装側で検証してください。

うまくデコードできない場合

JWTは通常、ドットで区切られた3つの文字列です。デコードできない場合は、前後に余計な空白が入っていないか、途中で改行や欠落がないか、header.payload.signature の形式になっているかを確認してください。

ログやHTTPヘッダーからコピーした場合、先頭に「Bearer 」が付いていることがあります。その場合は Bearer を除いたJWT本体だけを入力してください。

JWTデコードでよくある質問

はい。スマホのブラウザでも利用できます。APIのレスポンスやメモアプリにあるJWTをコピーして貼り付ければ、ヘッダーとペイロードを確認できます。

このページでは、入力したJWTをブラウザ上でデコードします。UtiLab側でJWTを保存する用途のツールではありません。ただし、本番トークンには個人情報や権限情報が含まれる場合があるため、扱いには注意してください。

デコードできない場合は、先頭の「Bearer 」を削除してJWT本体だけを貼り付けてください。JWT本体は、ドットで3つに区切られた文字列です。

expは有効期限、iatは発行時刻を表すことが多い項目です。多くの場合はUnix時刻で入っています。日時として確認したい場合は、関連ツールのUnix時刻変換も利用できます。

このツールでは署名検証は行いません。JWTの内容を読むためのデコード用です。署名検証が必要な場合は、公開鍵やシークレット、issuer、audienceなどを使って実装側で確認してください。