AG
JWT
DECODER
デコーダー
アルゴリズム
クレーム
ガイド
サービス紹介
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
デコーダー
/
ガイド
/
JWT の保存先:localStorage vs クッキー
ガイド
JWT の保存先:localStorage vs クッキー
ブラウザで JWT をどこに保存するかで XSS・CSRF のリスクが変わります。
localStorage:扱いやすい一方、JavaScript から読めるため XSS に弱いです — スクリプトが注入されるとトークンを盗まれ得ます。
HttpOnly クッキー:JavaScript から読めず XSS に強いですが、自動送信されるため CSRF 対策(SameSite・CSRF トークン)が必要です。
推奨:リフレッシュトークンは HttpOnly・Secure・SameSite クッキー、アクセストークンはメモリ(変数)に短く置く組み合わせが安全です。
どこに置くにせよ HTTPS は必須で、トークンの寿命を短くし、機密情報をペイロードに入れないでください。
トークンを自分でデコードしてみましょう
貼り付けるだけでヘッダー・ペイロード・クレームがすぐに展開されます。
デコーダーを開く
関連項目
JWTとは何か
JWT(JSON Web Token)は、当事者間で情報を安全にやり取りするための、署名された小さなJSONトークン形式です。
JWTの3部構造
すべてのJWTは header.payload.signature の3部で構成され、各部はbase64urlでエンコードされます。
JWTセキュリティ チェックリスト
JWTを安全に使うための重要な原則を短くまとめました。
JWT とセッション認証
トークン(JWT)認証とサーバーセッション(クッキー)認証の違いと選び方です。
よくある JWT エラーと対処
JWT を扱うときによく出会うエラーと、その原因・対処法です。
アクセストークンとリフレッシュトークン
短命のアクセストークンと、それを再発行するリフレッシュトークンの役割です。
JWS と JWE(署名 vs 暗号化)
JWT は通常は署名された JWS で、内容を隠すには暗号化された JWE を使います。その違いです。
カスタムクレーム(公開 vs 非公開)
登録クレーム(iss・exp など)以外に自分で定義するクレームの種類と衝突回避法です。
OAuth 2.0・OpenID Connect における JWT
JWT が OAuth 2.0 と OpenID Connect でどんな役割を果たすかをまとめます。