How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

JWT Decoder - JSON Web Tokens デコードおよびオンラインで有効期限を確認する

任意のJSONウェブトークンを貼り付けると、そのヘッダーとペイロードを即座にデコードし、署名を確認し、期限切れかどうかを確認します。ローカルで動作し、トークンはブラウザから離れません。

符号化JWT

このツールはトークンのみを復号し、署名を秘密鍵や公開鍵と照合することはありません。トークンを持つ誰でもペイロードを読み取れるので、JWTに秘密情報を入れないでください。

JSONウェブトークンについて

JWTは、ヘッダー、ペイロード、シグネチャの3つのBase64URLエンコードされたセグメントを持ち、ドットで区切られています。ヘッダーは署名アルゴリズムを表し、ペイロードはsub、iat、expなどのクレームを運び、署名はサーバーがトークンに改ざんされていないことを検証できるようにします。復号には秘密は必要ありません。

画像を強化し続ける

これらの人気のあるツールを使用して、写真編集を次のレベルに引き上げましょう

📝

画像にテキストを追加する

補正写真にキャプションとタイトルを追加する

🖼️

写真の境界線を追加

美しい境界線で効果をフレーミングする

🗜️

画像を圧縮する

共有用に拡張画像を最適化する

📐

画像のサイズ変更

画像のサイズを変更する

📝

画像にテキストを追加する

補正写真にキャプションとタイトルを追加する

今すぐ試す

🖼️

写真の境界線を追加

美しい境界線で効果をフレーミングする

今すぐ試す

🗜️

画像を圧縮する

共有用に拡張画像を最適化する

今すぐ試す

📐

画像のサイズ変更

画像のサイズを変更する

今すぐ試す

🎨

写真から漫画へ

別の芸術的なスタイルを試してみてください

今すぐ試す

✏️

鉛筆スケッチ

芸術的な鉛筆画を作成する

今すぐ試す

すべての写真ツールを見る

Frequently Asked Questions

エンコードされたJWT(長いeyJ...)を貼り付けます。文字列)を入力ボックスに置き換えます。ツールはそれを2点に分割し、Base64URLでヘッダーとペイロードをデコードし、それぞれのJSONと生の署名セグメントを表示します—すべてネットワークリクエストを行わずに行われます。

usage

いいえ。デコーダはトークンのみを解析し、署名を秘密鍵や公開鍵と照合することはありません。なぜなら検証には発行者の鍵資料が必要だからです。本番検証にはサーバー側のJWTライブラリを使用し、このツールは検査とデバッグのためのものです。

technical

ヘッダー(アルゴリズムとキーID)、ペイロードの請求(sub、iss、aud、iat、expおよびカスタムクレーム)、そして生の署名が得られます。標準的なタイムスタンプ請求は人間が読みやすい日付形式で書かれているため、古くなったトークンは一目で見つけられます。

features

ペイロードに標準的な「exp」請求が含まれている場合、ツールはそれを現在の時刻と比較し、「有効時」または「トークンの有効期限」のいずれかを正確なタイムスタンプで表示します。経験値請求がないトークンは有効期限がないと報告されます。

features

JWTのペイロードを読む人は誰でも有効期限まで使えるため、本番トークンはプライベートツールに保管されるべきです。このデコーダーは完全にブラウザ上で動作し、トークンは送信しませんが、安全策としては短命な開発トークンを可能な限りデコードすることです。

privacy

JWTは、ドットで区切られた3つのBase64URLエンコードセグメントで構成されています:ヘッダー(署名アルゴリズム)、ペイロード(発行者が検証者に信頼してほしい請求)、および署名(ヘッダー.payload上のMACまたはデジタル署名)。復号には鍵は必要ありません — 検証だけが鍵を必要とします。

technical

Use Cases

OAuth & OpenID Connect Flows のデバッグ

Auth0、Okta、Cognito、Azure ADから返されるアクセストークンとIDトークンをデコードし、ローカルOAuth統合作業中にスコープ、オーディエンス、発行者を検証します

technical

APIコールにおける認可ヘッダーを検査する

失敗したAPIリクエストのベアラートークンを貼り付けて、誤ったテナント、ロール、期限切れの原因かどうかを確認し、その後バックエンドチームにチケットを開いてください

technical

開発中のトークン有効期限確認

経験値請求を読むことで、静かにステージング環境を壊している期限切れトークンを見つけ出します。トークンを端末にコピーしたり、簡単なスクリプトを書いたりする必要はありません

technical

トークンクレームに符号化された監査権限

ロール、テナント、機能フラグなどのカスタムクレームを検証し、管理者が顧客のトークンがライセンスチームが意図したアクセスを正確に付与していることを確認できるようにします

business

シングルサインオン統合の検証

全従業員に配布する前に、企業SSO統合によって生成されたSAMLおよびOIDCトークンを検査し、グループメンバーシップや属性マッピングを確認しましょう

business

トークンベースの認証を教える

デコードされたヘッダー、ペイロード、シグネチャのパネルを使って、JWTがブートキャンプの学生、ジュニアエンジニア、セキュリティワークショップ参加者にどのように構成されているかを説明してください

educational