JWT デコーダー

// JWT デコーダーに関するよくある質問

JWTデコーダーとは何ですか？

JWT（JSON Web Token）の内容を人間が読める形式に変換するツールです。Base64URLエンコードされたHeader（ヘッダー）とPayload（ペイロード）をデコードしてJSON形式で表示し、`exp`（有効期限）等のタイムスタンプは日時形式に自動変換します。OAuth・OpenID Connect・自社API認証のデバッグで頻繁に必要になります。

JWTの署名検証はできますか？

本ツールでは署名の検証は行いません。署名検証には秘密鍵（HS256）または公開鍵（RS256/ES256）が必要で、ブラウザ上で安全に扱うことが難しいためです。署名検証はサーバーサイドまたは公式SDK（jsonwebtoken・jose 等）で行ってください。本ツールは「中身を見る」用途に特化しています。

JWTのPayloadに機密情報を入れても安全ですか？

いいえ、安全ではありません。JWTのPayloadはBase64URLエンコードされているだけで暗号化されていないため、誰でもデコードして内容を読むことができます。パスワード・クレジットカード番号・APIシークレット等の機密データはPayloadに含めないでください。機密が必要な場合は JWE（暗号化JWT）を使うか、Opaqueトークン + サーバー側ストア方式を採用します。

expクレームの期限切れ警告はどのように判定していますか？

expクレームのUnixタイムスタンプ（秒）と現在時刻を比較し、現在時刻がexpの値を超えている場合に期限切れ警告を表示します。タイムゾーンはブラウザのローカル設定に基づきます。`nbf`（before this time, not valid）と `iat`（issued at）も同様に日時表示します。トークンが「いつ発行されあと何分有効か」をひと目で確認できます。

「alg: none」というJWTは何ですか？

署名アルゴリズム指定を `none` にしたJWTで、署名なしを意味します。歴史的に脆弱性として悪用されたケースがあり（攻撃者が任意のクレームを書いて署名なしで送信、サーバー側が検証をスキップ）、現代の検証ライブラリでは `alg: none` を明示的に拒否するのが標準です。本ツールでデコード時に `alg: none` が見えた場合は、署名検証が機能しているか確認してください。

Bearer トークン形式（`Bearer xxxx.yyy.zzz`）も貼り付けられますか？

Bearer プレフィックスを付けたまま貼り付けても、本ツールは自動的に「Bearer 」部分を除去してデコードします（実装によります）。動作しない場合は手動で `Bearer ` を削除して JWT 本体だけを貼り付けてください。Authorization ヘッダーの値からそのままコピー可能です。

公開鍵・秘密鍵はどう扱えばよいですか？

本ツールは鍵を一切取り扱いません。署名検証にはサーバー側で使っているのと同じ鍵が必要で、ブラウザ上で安全に処理する仕組みを設計するのが困難なため、機能を提供していません。Identity Provider（Auth0、Cognito、Keycloak等）の場合、JWKS エンドポイント（`/.well-known/jwks.json`）から公開鍵を取得して検証ライブラリで処理する流れになります。

HS256とRS256はどちらが安全？

用途で異なります。HS256は単一サーバー内で完結する簡易な認証に適し、共通鍵を全システムで共有する必要があるためマイクロサービスや外部公開には不向きです。RS256は公開鍵で署名を検証できるため、認証サーバーと API サーバーが分かれているマイクロサービス構成・外部公開APIに最適です。最近の OpenID Connect では ES256（楕円曲線、より高速）も人気です。

タイムスタンプは秒？ミリ秒？

JWT 標準では `exp`・`iat`・`nbf` は秒単位（Unix Timestamp / UTC基準）です。ミリ秒単位（JavaScript の `Date.now()` の戻り値）と間違えやすい点に注意してください。本ツールは秒単位として日時変換しています。もし「2055年」のように未来すぎる日付になっていれば、ミリ秒を秒として誤解している可能性が高いです。

データはサーバーに送信されますか？

いいえ、JWTのデコードはすべてブラウザ内のJavaScriptで完結します。本番環境のトークン・社内システムの認証情報・ユーザー個人情報を含むJWTもサーバーに送信されることなく安全に解析できます。