JWT デコーダーと検証ツールとは?
JSON Web Token は、ヘッダー、ペイロード、署名という 3 つの base64url セグメントで構成されるコンパクトな文字列です。このツールはブラウザー内でヘッダーとペイロードをデコードするため、サーバーに送信せずにトークン構造を確認できます。
署名検証では、トークンが想定どおりの鍵とアルゴリズムで署名されているかを確認します。HS256、HS384、HS512 トークンには共有シークレットを使用します。RS、PS、ES トークンには PEM 公開鍵、JWK、または JWKS を使用します。
いつ使うか
認証フローのデバッグ、OAuth や OpenID Connect のクレーム確認、環境間の比較、バックエンドが期待どおりの audience、issuer、subject、有効期限、鍵識別子の値を発行しているかの確認にデコーダーを使用します。
一致するシークレットまたは公開鍵があり、ヘッダー、ペイロード、署名が引き続き一体のものかを確認する必要がある場合は、検証を使用します。このツールは exp、nbf、iat も強調表示するため、一般的な時計ずれや期限切れの問題をすぐに確認できます。
セキュリティ上の注意
JWT ペイロードはエンコードされているだけで、暗号化されていません。トークンが別の暗号化済み JWE でない限り、トークンを持つ人は誰でもそのクレームを読み取れます。このツールは JWE を処理しません。
共有マシンでは、本番環境のトークンやプライベートシークレットを貼り付けないでください。このツールはブラウザー内でローカルに実行され、トークンや検証材料を保存しませんが、可能な限り短命のテストトークンと公開鍵を使用するのが最も安全なワークフローです。