ToovaはJWTの署名を検証しますか？

いいえ。検証には発行者だけが持つ署名鍵が必要です。Toovaはヘッダーとペイロードをデコードしてクレームを確認できるようにしますが、トークンを信頼するには、サーバー側で秘密鍵または公開鍵を使った検証が引き続き必要です。

トークンはどこかへ送信されますか？

いいえ。デコーダーはすべてブラウザ内で実行されます。トークンが端末から外に出ることはなく、デコード中に外向きの通信は発生しません。開発者ツールを開けばご自身で確認できます。

期限切れのトークンもデコードできますか？

はい。デコーダーは有効期限に関係なく動作します。トークンを期限切れとして表示し、exp クレームがいつ過ぎたかも示すため、リクエストが拒否された理由のデバッグに役立ちます。

alg フィールドは何を示しますか？

署名アルゴリズムを示します。HS256 はHMAC-SHA256、RS256 はRSA、ES256 はECDSAなどです。alg が「none」の場合、トークンは未署名であり、これはほぼ確実にセキュリティ上の不具合です。

タイムスタンプが数値なのはなぜですか？

JWTクレームはUnixエポック秒を使います。Toovaは iat、nbf、exp をローカルタイムゾーンに変換して読みやすく表示し、生の値も参照用に残します。

JWTデコーダー — JSON Web Tokenをデコードして確認

JWTデコーダー・インスペクター

プライバシー優先設計 — すべてブラウザ内で処理します

JWT（JSON Web Token）をデコードして、ヘッダーとペイロードを確認できます。トークンはどこにも送信されません。Toovaはアルゴリズム、クレーム、発行時刻と有効期限を人間が読める形で表示し、期限切れのトークンには警告を出します。すべてブラウザ内でローカルに実行されます。

JWTをローカルでデコードする理由

他のJWTデコーダーの多くは、トークンを遠隔のフォームに貼り付けるよう求めます。問題は明白です。トークンが有効なら、そのサーバー運営者はあなたになりすませます。Toovaはトークンをすべてブラウザ内でデコードし、アップロードもログ記録もありません。本番環境のアクセストークンを貼り付けてクレームを確認し、構造の妥当性を検証しても、第三者に漏れる心配がありません。

デコード結果に表示される内容

Toovaはトークンをヘッダー、ペイロード、署名に分割します。ヘッダーにはアルゴリズムと鍵IDが表示されます。ペイロードは整形済みのJSONで、標準クレーム（iss、sub、aud、exp、nbf、iat、jti）はすべて読みやすい形式に変換されます。タイムスタンプはローカルタイムゾーンに変換され、トークンが現在有効か、期限切れか、まだ有効でないかが明示されます。

デコードはするが、信頼はしない

JWTのデコードは検証と同じではありません。デコーダーはトークンが何を主張しているかを表示しますが、署名は検証しません。それには発行サーバー上にある署名鍵が必要です。Toovaはクレーム構造、有効期限、オーディエンス値のデバッグに使い、アクセスを許可する前の信頼確認は認証ライブラリで行ってください。

よくある質問

ToovaはJWTの署名を検証しますか？: いいえ。検証には発行者だけが持つ署名鍵が必要です。Toovaはヘッダーとペイロードをデコードしてクレームを確認できるようにしますが、トークンを信頼するには、サーバー側で秘密鍵または公開鍵を使った検証が引き続き必要です。
トークンはどこかへ送信されますか？: いいえ。デコーダーはすべてブラウザ内で実行されます。トークンが端末から外に出ることはなく、デコード中に外向きの通信は発生しません。開発者ツールを開けばご自身で確認できます。
期限切れのトークンもデコードできますか？: はい。デコーダーは有効期限に関係なく動作します。トークンを期限切れとして表示し、exp クレームがいつ過ぎたかも示すため、リクエストが拒否された理由のデバッグに役立ちます。
alg フィールドは何を示しますか？: 署名アルゴリズムを示します。HS256 はHMAC-SHA256、RS256 はRSA、ES256 はECDSAなどです。alg が「none」の場合、トークンは未署名であり、これはほぼ確実にセキュリティ上の不具合です。
タイムスタンプが数値なのはなぜですか？: JWTクレームはUnixエポック秒を使います。Toovaは iat、nbf、exp をローカルタイムゾーンに変換して読みやすく表示し、生の値も参照用に残します。