JWTデコーダー - オンラインでJSON Web Tokenをデコードし有効期限を確認
任意の JSON Web Token を貼り付けるだけで、ヘッダーとペイロードを即座にデコードし、署名を確認し、有効期限が切れていないかチェックできます。処理はローカルで実行され、トークンがブラウザの外に出ることはありません。
Decode and verify entirely in your browser — nothing is uploaded.
JWTデコーダーの利用は完了しましたか?次はこちらもお試しください
JWTデコーダーと相性の良い厳選ツール。ファイルを失うことなく作業を続けられます。
Base64 エンコーダー / デコーダー
任意のテキストやファイルをBase64(URLセーフ版あり)にエンコード、またはBase64をテキストにデコードできます。UTF-8対応。
今すぐ試すハッシュジェネレーター
ブラウザのWeb Crypto APIを使って、任意のテキストやファイルのSHA-1・SHA-256・SHA-384・SHA-512の16進ダイジェストを計算します。
今すぐ試すJSON整形
ブラウザ上でJSONの整形・検証・圧縮ができます。2 / 4 / 8スペースのインデントで見やすく整形したり、1行に圧縮したりして、コピーやダウンロードが可能です。
今すぐ試すURLエンコーダー/デコーダー
URLの構成要素やURL全体をパーセントエンコードし、元に戻すこともできます。encodeURIComponentモードとencodeURIモードに対応。
今すぐ試すパスワード生成ツール
最大128文字の、暗号学的にランダムな強力なパスワードを、エントロピーをリアルタイムで推定しながら生成します。
今すぐ試す差分チェッカー
2つのテキストを行単位で比較できます。分割表示と統合表示に対応し、空白の無視や大文字・小文字の無視も選択可能です。
今すぐ試すFrequently Asked Questions
エンコードされた JWT(eyJ… で始まる長い文字列)を入力ボックスに貼り付けます。ツールはそれを2つのドットで分割し、ヘッダーとペイロードを Base64URL でデコードして、それぞれの JSON と生の署名部分を表示します。これらはすべて、ネットワークリクエストを一切行わずに実行されます。
usageいいえ。デコーダーはトークンを解析するだけで、署名を秘密鍵や公開鍵と照合して検証することはありません。検証には発行者の鍵情報が必要だからです。本番環境での検証にはサーバーサイドのJWTライブラリを使用してください。このツールは確認とデバッグのためのものです。
technicalヘッダー(アルゴリズムとキーID)、ペイロードのクレーム(sub、iss、aud、iat、exp、および任意のカスタムクレーム)、そして生の署名が得られます。標準的なタイムスタンプのクレームは人間が読みやすい日付形式で表示されるため、期限切れのトークンをひと目で見分けられます。
featuresペイロードに標準の「exp」クレームが含まれている場合、ツールはそれを現在時刻と比較し、正確なタイムスタンプとともに「有効期限」または「トークン失効日時」のいずれかを表示します。expクレームのないトークンは、有効期限なしとして報告されます。
featuresJWTのペイロードを読める人は、有効期限が切れるまでそれを利用できます。そのため、本番用トークンはプライベートなツールでのみ扱うべきです。このデコーダーは完全にブラウザ内で動作し、トークンを一切送信しませんが、可能な限り有効期限の短い開発用トークンをデコードするのが安全なルールです。
privacyJWTはドットで区切られた3つのBase64URLエンコードされたセグメントから成ります。ヘッダー(署名アルゴリズム)、ペイロード(発行者が検証者に信頼してほしいクレーム)、署名(header.payloadに対するMACまたはデジタル署名)です。デコードには鍵は不要で、必要になるのは検証時だけです。
technicalJWTは、ヘッダー・ペイロード・署名という3つのBase64URLセグメントで構成される、コンパクトでURLに安全なトークンです。ユーザーIDや有効期限といった署名付きのクレームを含み、ステートレスなログインセッションやAPIリクエストの保護に広く使われています。上の欄に貼り付けると、ヘッダーとペイロードを確認できます。
technicalデコードされたヘッダーとペイロードの下にある「署名を検証」ボックスに、(HS256 の場合は)署名用の秘密鍵、または(RS256、ES256 などの場合は)発行者の公開鍵を PEM か JWK 形式で貼り付け、「検証」をクリックします。表示されるバッジは、署名が有効か、無効か、あるいはブラウザ側の検証ツールが対応していないアルゴリズムを使っているかを示します — すべてローカルで計算され、トークンや鍵をどこにも送信しません。
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsClick Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
OAuth・OpenID Connectフローのデバッグ
Auth0、Okta、Cognito、Azure ADが返すアクセストークンやIDトークンをデコードし、ローカルでのOAuth連携作業中にスコープ、オーディエンス、発行者を検証できます
API呼び出しの認証ヘッダーを検査
失敗している API リクエストのベアラートークンを貼り付けて、バックエンドチームにチケットを起票する前に、原因が誤ったテナント、ロール、有効期限のいずれにあるのかを確認できます
開発中にトークンの有効期限を確認
exp クレームを読むだけで、ステージング環境を密かに壊している期限切れのトークンを発見できます。トークンをターミナルにコピーしたり、簡単なスクリプトを書いたりする必要はありません
トークンのクレームにエンコードされた権限を監査
ロール、テナント、機能フラグなどのカスタムクレームを検証できるため、管理者は顧客のトークンがライセンスチームの意図したとおりのアクセス権を付与しているかを確認できます
シングルサインオン連携を検証
企業のSSO連携が生成するSAMLやOIDCトークンを検査し、全従業員への展開前にグループの所属や属性のマッピングを確認できます
トークンベース認証を教える
デコードされたヘッダー、ペイロード、署名のパネルを使って、JWTがどのように構成されているかを、ブートキャンプの受講生、ジュニアエンジニア、セキュリティワークショップの参加者に説明する
Confirm a Partner's Webhook Signing Setup
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate