AG
JWT
DECODER
デコーダー
アルゴリズム
クレーム
ガイド
サービス紹介
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
デコーダー
/
ガイド
/
カスタムクレーム(公開 vs 非公開)
ガイド
カスタムクレーム(公開 vs 非公開)
登録クレーム(iss・exp など)以外に自分で定義するクレームの種類と衝突回避法です。
登録クレーム:RFC 7519 が定める標準(iss・sub・aud・exp・nbf・iat・jti)。意味が固定され相互運用できます。
公開クレーム:IANA に登録するか衝突しない名前で公開的に使うクレームです。
非公開クレーム:特定の当事者間で合意して使う私的クレーム(role・plan など)— 衝突の恐れがあるので短く一般的な名前は避けてください。
ヒント:カスタムクレームにも機密情報を入れず、衝突を避けるため URI 名前空間(例:https://myapp.com/roles)を使うこともあります。
トークンを自分でデコードしてみましょう
貼り付けるだけでヘッダー・ペイロード・クレームがすぐに展開されます。
デコーダーを開く
関連項目
JWTとは何か
JWT(JSON Web Token)は、当事者間で情報を安全にやり取りするための、署名された小さなJSONトークン形式です。
JWTの3部構造
すべてのJWTは header.payload.signature の3部で構成され、各部はbase64urlでエンコードされます。
JWTセキュリティ チェックリスト
JWTを安全に使うための重要な原則を短くまとめました。
JWT とセッション認証
トークン(JWT)認証とサーバーセッション(クッキー)認証の違いと選び方です。
よくある JWT エラーと対処
JWT を扱うときによく出会うエラーと、その原因・対処法です。
アクセストークンとリフレッシュトークン
短命のアクセストークンと、それを再発行するリフレッシュトークンの役割です。
JWS と JWE(署名 vs 暗号化)
JWT は通常は署名された JWS で、内容を隠すには暗号化された JWE を使います。その違いです。
JWT の保存先:localStorage vs クッキー
ブラウザで JWT をどこに保存するかで XSS・CSRF のリスクが変わります。
OAuth 2.0・OpenID Connect における JWT
JWT が OAuth 2.0 と OpenID Connect でどんな役割を果たすかをまとめます。