JWTデコーダー - オンラインでJSON Web Tokenをデコードし有効期限を確認

任意の JSON Web Token を貼り付けるだけで、ヘッダーとペイロードを即座にデコードし、署名を確認し、有効期限が切れていないかチェックできます。処理はローカルで実行され、トークンがブラウザの外に出ることはありません。

エンコード済みJWT

Decode and verify entirely in your browser — nothing is uploaded.

ファイルは処理後に自動削除されますHTTPSで安全に処理

JWTデコーダーの利用は完了しましたか?次はこちらもお試しください

JWTデコーダーと相性の良い厳選ツール。ファイルを失うことなく作業を続けられます。

すべてのツールを見る

Frequently Asked Questions

エンコードされた JWT(eyJ… で始まる長い文字列)を入力ボックスに貼り付けます。ツールはそれを2つのドットで分割し、ヘッダーとペイロードを Base64URL でデコードして、それぞれの JSON と生の署名部分を表示します。これらはすべて、ネットワークリクエストを一切行わずに実行されます。

usage

いいえ。デコーダーはトークンを解析するだけで、署名を秘密鍵や公開鍵と照合して検証することはありません。検証には発行者の鍵情報が必要だからです。本番環境での検証にはサーバーサイドのJWTライブラリを使用してください。このツールは確認とデバッグのためのものです。

technical

ヘッダー(アルゴリズムとキーID)、ペイロードのクレーム(sub、iss、aud、iat、exp、および任意のカスタムクレーム)、そして生の署名が得られます。標準的なタイムスタンプのクレームは人間が読みやすい日付形式で表示されるため、期限切れのトークンをひと目で見分けられます。

features

ペイロードに標準の「exp」クレームが含まれている場合、ツールはそれを現在時刻と比較し、正確なタイムスタンプとともに「有効期限」または「トークン失効日時」のいずれかを表示します。expクレームのないトークンは、有効期限なしとして報告されます。

features

JWTのペイロードを読める人は、有効期限が切れるまでそれを利用できます。そのため、本番用トークンはプライベートなツールでのみ扱うべきです。このデコーダーは完全にブラウザ内で動作し、トークンを一切送信しませんが、可能な限り有効期限の短い開発用トークンをデコードするのが安全なルールです。

privacy

JWTはドットで区切られた3つのBase64URLエンコードされたセグメントから成ります。ヘッダー(署名アルゴリズム)、ペイロード(発行者が検証者に信頼してほしいクレーム)、署名(header.payloadに対するMACまたはデジタル署名)です。デコードには鍵は不要で、必要になるのは検証時だけです。

technical

JWTは、ヘッダー・ペイロード・署名という3つのBase64URLセグメントで構成される、コンパクトでURLに安全なトークンです。ユーザーIDや有効期限といった署名付きのクレームを含み、ステートレスなログインセッションやAPIリクエストの保護に広く使われています。上の欄に貼り付けると、ヘッダーとペイロードを確認できます。

technical

デコードされたヘッダーとペイロードの下にある「署名を検証」ボックスに、(HS256 の場合は)署名用の秘密鍵、または(RS256、ES256 などの場合は)発行者の公開鍵を PEM か JWK 形式で貼り付け、「検証」をクリックします。表示されるバッジは、署名が有効か、無効か、あるいはブラウザ側の検証ツールが対応していないアルゴリズムを使っているかを示します — すべてローカルで計算され、トークンや鍵をどこにも送信しません。

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Click Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

OAuth・OpenID Connectフローのデバッグ

Auth0、Okta、Cognito、Azure ADが返すアクセストークンやIDトークンをデコードし、ローカルでのOAuth連携作業中にスコープ、オーディエンス、発行者を検証できます

For Developers

API呼び出しの認証ヘッダーを検査

失敗している API リクエストのベアラートークンを貼り付けて、バックエンドチームにチケットを起票する前に、原因が誤ったテナント、ロール、有効期限のいずれにあるのかを確認できます

For Developers

開発中にトークンの有効期限を確認

exp クレームを読むだけで、ステージング環境を密かに壊している期限切れのトークンを発見できます。トークンをターミナルにコピーしたり、簡単なスクリプトを書いたりする必要はありません

For Business

トークンのクレームにエンコードされた権限を監査

ロール、テナント、機能フラグなどのカスタムクレームを検証できるため、管理者は顧客のトークンがライセンスチームの意図したとおりのアクセス権を付与しているかを確認できます

For Business

シングルサインオン連携を検証

企業のSSO連携が生成するSAMLやOIDCトークンを検査し、全従業員への展開前にグループの所属や属性のマッピングを確認できます

Education

トークンベース認証を教える

デコードされたヘッダー、ペイロード、署名のパネルを使って、JWTがどのように構成されているかを、ブートキャンプの受講生、ジュニアエンジニア、セキュリティワークショップの参加者に説明する

For Developers

Confirm a Partner's Webhook Signing Setup

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.