JWT をローカルでデコードする方法
ブラウザ内で JWT header と payload をデコードし、検証、claims、機密 token の扱いを明確にします。
token を安全に確認し、何がデコードで何が検証済みか説明する必要があるときに使います。
手順
- JWT デコーダー
1. サンプル token を準備する
デバッグワークフローを開く前に、非本番 token またはマスク済み claim 値を使います。
- JWT デコーダー
2. header と payload をデコードする
アルゴリズム、key id、issuer、audience、expiration、not-before、issued-at、カスタム claims を確認します。
- JWTワークベンチ
3. デコードと検証を分ける
decoded token は解析されただけで、署名と claims が検証されるまでは信頼できないと記録します。
- JWT署名検証
4. 正しい鍵材料で検証する
期待アルゴリズムと対応する secret または public key が分かる場合だけ検証器を使います。
ローカルデコードで分かること
構造、時刻系 claims、予期しない alg 値や audience 不足などの明らかな問題を確認できます。
ローカルデコードで証明できないこと
decoded payload はテキストを編集できる人なら変更できます。認可は署名検証とアプリケーションポリシーに依存します。
このワークフローのツール
目的別のツールを直接開けます。これらのリンクは検索や sitemap 生成と同じ registry データを使います。
信頼性チェック
JWT ページは機密入力ワークフローです。プライバシーと信頼センターは token 値を storage、analytics、ログに入れてはいけない理由を説明します。
プライバシーと信頼センターよくある質問
secret なしで JWT をデコードできますか?
はい。header と payload のデコードに secret は不要ですが、署名検証には必要です。
顧客 token を貼り付けるべきですか?
避けてください。テスト token、マスク済み claims、またはサンプルデータでのローカル境界確認を先に行います。