JSON Web Token (JWT) デコーダー: JWT コンテンツとクレームの検査

2026年3月31日 · 12分で読めます

JSON Web Tokenの理解

JSON Web Token (JWT) は、JSONオブジェクトとして当事者間で情報を安全に送信するために使用される、コンパクトで自己完結型のトークンです。現代のWebアプリケーション、モバイルアプリ、マイクロサービスアーキテクチャにおける認証と情報交換の事実上の標準となっています。

ユーザーデータがサーバーに保存される従来のセッションベースの認証とは異なり、JWTはデータをトークン自体に直接埋め込みます。この根本的な違いにより、JWTはステートレス操作に理想的です。サーバーは、リクエストごとにユーザーIDを確認するためにセッションストレージを維持したり、データベースにクエリを実行したりする必要がありません。

JWTをデジタルパスポートのように考えてください。パスポートにあなたの身元情報が含まれ、ホログラムや透かしで暗号的に保護されているように、JWTにはユーザーに関するクレームが含まれ、改ざんを防ぐために暗号的に署名されています。国境管理でパスポートを提示すると、職員は母国に連絡することなくその真正性を確認できます。同様に、サービスは発行サーバーに連絡することなくJWTを検証できます。

JWTが優れている一般的なシナリオには以下が含まれます:

• シングルサインオン (SSO): ユーザーは一度認証すれば、同じトークンで複数のサービスにアクセスできます
• API認証: モバイルアプリとSPAは、CookieなしでバックエンドAPIで認証します
• 情報交換: サービス間で検証済みデータを安全に送信します
• ステートレス認可: サーバー側セッションなしでリソースへの一時的なアクセスを付与します

JWTの3部構成

すべてのJWTは、ピリオド(ドット)で区切られた3つの異なる部分で構成されています。各部分は、トークンの機能とセキュリティモデルにおいて特定の目的を果たします。JWTを見ると、次のようになります:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

各コンポーネントを分解してみましょう:

ヘッダー

ヘッダーは通常、トークンタイプ(JWT)と使用されている署名アルゴリズム(HMAC SHA256やRSAなど)の2つの部分で構成されています。この情報は、受信側にトークンの処理と検証方法を伝えます。

デコードされたヘッダーは次のようになります:

{
  "alg": "HS256",
  "typ": "JWT"
}

ペイロード

ペイロードには、クレーム(通常はユーザーに関するステートメント)と追加のメタデータが含まれています。クレームは3つのタイプに分類されます:

典型的なペイロードは次のようになります:

{
  "sub": "1234567890",
  "name": "John Doe",
  "email": "[email protected]",
  "role": "admin",
  "iat": 1516239022,
  "exp": 1516242622
}

署名

署名は、トークンが改ざんされていないことを保証する暗号シールです。エンコードされたヘッダー、エンコードされたペイロード、秘密鍵を取得し、ヘッダーで指定されたアルゴリズムを適用することで作成されます。

たとえば、HMAC SHA256を使用する場合、署名は次のように作成されます:

HMACSHA256(
  base64UrlEncode(header) + "." + base64UrlEncode(payload),
  secret
)

署名により、受信者はJWTの送信者が本人であることを確認でき、メッセージが途中で変更されていないことを確認できます。

JSON Web Tokenデコーダーを使用する理由

JWTは機械可読であるように設計されていますが、開発者は開発、デバッグ、セキュリティ監査中にその内容を検査する必要が頻繁にあります。JWTデコーダーは、Base64エンコードされた文字列を人間が読めるJSONに変換し、トークンに含まれる情報を簡単に理解できるようにします。

開発者がJWTデコーダーを使用する主な理由は次のとおりです:

開発とデバッグ

認証システムを構築する際、トークンに正しいクレームが含まれ、適切にフォーマットされていることを確認する必要があります。デコーダーを使用すると、カスタムコードを書いたり、コマンドラインツールを使用したりすることなく、トークンをすばやく検査できます。

たとえば、ユーザーが認証の問題を報告した場合、JWTをデコードして、exp(有効期限)クレームが過ぎているか、必要なクレームが欠落しているかを確認できます。

セキュリティ監査

セキュリティチームは、JWTデコーダーを使用してトークンの潜在的な脆弱性を分析します。次のことを確認できます:

• ペイロードに誤って含まれた機密情報
• 弱い署名アルゴリズム(RS256が期待される場合のnoneやHS256など)
• 欠落または不適切に構成されたセキュリティクレーム
• セキュリティリスクを高める過度のトークン有効期間

統合テスト

JWT認証を使用するサードパーティAPIと統合する場合、トークンをデコードすることで、期待される形式とクレーム構造を理解するのに役立ちます。これは、ドキュメントが不完全または古い場合に特に有用です。

学習と教育

JWTに不慣れな開発者にとって、デコーダーは3部構成がどのように機能するか、ペイロードへの変更が最終的なトークンにどのように影響するかについて、即座に視覚的なフィードバックを提供します。

ステップバイステップのデコードプロセス

プロセスを理解すれば、JWTのデコードは簡単です。内部でどのように機能するかを以下に示します:

ステップ1: トークンを分割する

まず、JWT文字列をピリオド文字で分割して、3つの部分を分離します:

const parts = token.split('.');
const header = parts[0];
const payload = parts[1];
const signature = parts[2];

ステップ2: Base64デコード

各部分はBase64URLエンコード(Base64のURL安全なバリアント)されています。ヘッダーとペイロードをデコードしてJSON文字列を取得します:

const decodedHeader = atob(header);
const decodedPayload = atob(payload);

ステップ3: JSONを解析する

デコードされた文字列をJSONオブジェクトとして解析します:

const headerObj = JSON.parse(decodedHeader);
const payloadObj = JSON.parse(decodedPayload);

ステップ4: 内容を検査する

これで、クレームとメタデータを調べることができます。次のような標準クレームを確認します:

• iss (発行者): トークンを作成して署名した人
• sub (サブジェクト): トークンが表すユーザーまたはエンティティ
• aud (オーディエンス): トークンの対象者
• exp (有効期限): トークンの有効期限(Unixタイムスタンプ)
• iat (発行時刻): トークンが作成された時刻
• nbf (有効開始時刻): この時刻より前にトークンを受け入れるべきではない

JWTデコーダーを使用すると、このプロセス全体がブラウザで即座に実行されます。トークンを貼り付けるだけで、デコードされたヘッダーとペイロードがすぐに表示されます。

トークンの署名の検証

JWTのデコードは話の半分に過ぎません。検証こそがセキュリティが発生する場所です。JWTは単なるBase64エンコードされたJSONであるため、誰でもデコードできますが、正しい秘密鍵または公開鍵を持つ当事者のみが署名を検証できます。

署名検証が重要な理由

署名は、2つの重要なセキュリティプロパティを保証します:

1. 整合性: トークンは署名されてから変更されていません
2. 真正性: トークンは秘密鍵を所有する信頼できる当事者によって作成されました

署名検証がなければ、攻撃者はJWTをデコードし、ペイロードを変更し(おそらく権限を「ユーザー」から「管理者」に昇格させる)、再エンコードして、変更されたトークンを使用できます。署名はこの攻撃を防ぎます。

検証プロセス

JWT署名を検証するには、次のものが必要です:

• 完全なJWT(3つの部分すべて)
• 秘密鍵(HMACアルゴリズムの場合)または公開鍵(RSA/ECDSAアルゴリズムの場合)
• 使用された署名アルゴリズムの知識

検証プロセスは、トークンのヘッダーとペイロードを使用して署名を再作成し、トークンに含まれる署名と比較します。一致すれば、トークンは有効です。

一般的な署名アルゴリズム