JWT ツール — デコード・検証・署名
JSON Web Token のデコード、シークレットや PEM 公開鍵による HS/RS/ES 署名検証、HS 署名をすべてブラウザ内で完結できます。
JWT ツール — デコード・検証・署名 — デコード・検証・署名の3モードを備えたオールインワンの JSON Web Token ツールキットです。デコードはトークンのヘッダーとペイロードを整形表示し、検証は HMAC シークレット(HS256/384/512)または PEM 公開鍵(RS256/384/512、ES256/384/512)で署名を確認し、署名はあなたのヘッダー・ペイロード・シークレットから新しい HS 署名トークンを生成します。すべての処理はブラウザ内蔵の Web Crypto API でクライアント側だけで実行され、トークン・シークレット・鍵が端末から外に出ることはありません。
JWT ツール — デコード・検証・署名とは?
JWT ツールは、デコーダー・署名検証・HS 署名を1か所にまとめた無料のオールインワン JSON Web Token ユーティリティです。デコードモードでは header.payload.signature トークンを base64url デコードし、ヘッダーとペイロードを整形済み JSON として表示します。検証モードではトークンヘッダーの alg を読み取り、Web Crypto API で署名を確認します。HS256・HS384・HS512 は HMAC 共有シークレット、RS256/RS384/RS512(RSASSA-PKCS1-v1_5)と ES256/ES384/ES512(ECDSA)は PEM 形式の公開鍵を使います。署名モードでは、ヘッダー JSON・ペイロード JSON・選んだ HS アルゴリズム・シークレットから新しいトークンを構築して HMAC 署名します。認証や OAuth/OIDC セッション、トークンの有効期限をデバッグするバックエンド/フロントエンドエンジニア、QA テスター、API インテグレーター向けに作られており、シークレットをリモートサービスに貼り付ける必要がありません。
JWT ツール — デコード・検証・署名の使い方
- 上部でモードを選びます:デコード、検証、署名。
- デコード:JWT(header.payload.signature)をトークン欄に貼り付けると、下に整形済みのヘッダーとペイロードが表示されます。ここでは署名チェックは行いません。
- 検証:トークンを貼り付け、次に HMAC シークレット(HS アルゴリズム)または PEM 公開鍵(RS/ES)を鍵欄に貼り付けます。ツールはヘッダーから alg を読み取り、緑の「有効」または赤の「無効」を表示します。
- 署名:ヘッダー JSON とペイロード JSON を入力し、HS256・HS384・HS512 のいずれかを選び、シークレットを入力すると、署名済みトークンが表示されるのでコピーします。
- 任意の出力でコピーボタンを使うか、クリアでデコード入力をリセットします。
使用例
トークンをデコードする
入力
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig
出力
Header:
{
"alg": "HS256",
"typ": "JWT"
}
Payload:
{
"sub": "1234"
}HS256 トークンを検証する
入力
token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.<sig> secret: your-256-bit-secret
出力
valid (HS256)
新しい HS256 トークンに署名する
入力
header: {}
payload: { "sub": "1234567890", "name": "Jane Doe" }
secret: your-256-bit-secret出力
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIn0.<signature>
よくある質問
- トークンやシークレット、鍵はどこかにアップロードされますか?
- いいえ。すべてのモードは、HMAC と署名検証にブラウザ内蔵の Web Crypto API(crypto.subtle)を、base64url と JSON に JavaScript を使い、完全にクライアント側で実行されます。トークンもシークレットも PEM 鍵も、いかなるサーバーにも送信されないため、本番の認証情報も安全に扱えます。
- どのアルゴリズムを検証できますか?
- 検証は、共有 HMAC シークレットを使う HS256・HS384・HS512 と、PEM 形式の公開鍵を使う RS256/RS384/RS512(RSASSA-PKCS1-v1_5)および ES256/ES384/ES512(ECDSA)に対応します。トークンヘッダーの alg フィールドを自動で読み取るため、対応するシークレットまたは公開鍵を渡すだけです。
- どのアルゴリズムで署名できますか?
- 署名モードは HMAC 署名トークンのみ——HS256・HS384・HS512——をヘッダー JSON、ペイロード JSON、シークレットから生成します。RSA と ECDSA の署名には秘密鍵が必要で本ツールの対象外ですが、RS/ES については対応する公開鍵を使って検証モードで検証できます。
- デコードモードは署名をチェックしますか?
- いいえ。デコードはヘッダーとペイロードを base64url デコードして整形表示するだけで、署名の検証は一切行いません。トークンの真正性を確認するには検証モードに切り替えてシークレットまたは公開鍵を渡してください。署名が検証されるまでデコードしたペイロードを信用しないでください。
- 検証で無効やエラーになるのはなぜですか?
- 「無効」は、署名が渡したシークレットまたは鍵と一致しないことを意味します。一方「エラー」は入力を処理できなかったことを示し、たとえばトークンに署名セグメントがない、alg が未対応、PEM 公開鍵を解析できない、などです。完全なトークンと、そのアルゴリズムに合った正しい鍵を貼り付けたか確認してください。
関連ツール
AES テキスト暗号化(AES-GCM + PBKDF2)
パスフレーズから導出した鍵(PBKDF2 SHA-256)で AES-GCM によりテキストを暗号化・復号します。すべてブラウザ内で完結し、アップロードはありません。
HMAC 生成ツール
SHA-1・SHA-256・SHA-384・SHA-512 を使い、メッセージと秘密鍵から HMAC を計算し、16進数または Base64 で出力します。
パスワード生成ツール
長さ・文字種・紛らわしい文字の除外を調整できる、強力でランダムなパスワードをすべてブラウザー内で作成します。
TOTP コード生成ツール
base32 シークレットから、桁数と時間周期を選んで TOTP の二要素認証コードをブラウザー内でリアルタイムに生成します。