{
  "iss": "https://issuer.example.com",
  "aud": "api://comutil",
  "sub": "user-123",
  "iat": 2000000000,
  "nbf": 2000000240,
  "exp": 2000003600
}

警告

警告は検出されませんでした

クレーム概要

Issuer https://issuer.example.com

オーディエンス api://comutil

サブジェクト user-123

発行日時 (iat) 2033-05-18 03:33:20 UTC

有効開始時刻 (nbf) 2033-05-18 03:37:20 UTC

有効期限 (exp) 2033-05-18 04:33:20 UTC

トークン情報

アルゴリズム HS256

タイプ JWT

サブジェクト user-123

発行日時 (iat) 2033-05-18 03:33:20 UTC

有効期限 (exp) 2033-05-18 04:33:20 UTC 有効

署名 signature

トークンセグメント

ヘッダー長さ: 36

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

ペイロード長さ: 168

eyJpc3MiOiJodHRwczovL2lzc3Vlci5leGFtcGxlLmNvbSIsImF1ZCI6ImFwaTovL2NvbXV0aWwiLCJzdWIiOiJ1c2VyLTEyMyIsImlhdCI6MjAwMDAwMDAwMCwibmJmIjoyMDAwMDAwMjQwLCJleHAiOjIwMDAwMDM2MDB9

署名長さ: 9

signature

JWTとは何ですか？

JSON Web Token（JWT）は、JSONオブジェクトとして当事者間で情報を安全に送信するためのオープンスタンダード（RFC 7519）です。JWTはシークレット（HMAC）または公開鍵/秘密鍵ペア（RSA/ECDSA）を使用して署名できます。Webアプリケーションでの認証や情報交換に広く使用されています。

JWTの構造

JWTはドットで区切られた3つの部分で構成されます：ヘッダー（アルゴリズムとトークンタイプ）、ペイロード（クレーム/データ）、署名（検証用）。各部分はBase64Urlでエンコードされています。署名によりトークンが改ざんされていないことが保証されますが、ヘッダーとペイロードは誰でもデコードできます。

主な使用例

ユーザー認証と認可
シングルサインオン（SSO）システム
API認証
サービス間での安全な情報交換
ステートレスなセッション管理

標準クレーム

iss 発行者（iss） - トークンを作成し署名した者

sub 主体（sub） - トークンの対象者（通常はユーザーID）

aud 受信者（aud） - トークンの意図された受信者

exp 有効期限（exp） - トークンが期限切れになるUnixタイムスタンプ

iat 発行日時（iat） - トークンが作成されたUnixタイムスタンプ

よくある質問

JWTは暗号化されていますか？

標準的なJWT（JWS）は署名されていますが暗号化されていません - 誰でもペイロードを読むことができます。暗号化されたトークンにはJWE（JSON Web Encryption）を使用してください。通常のJWTに機密データを保存しないでください。

JWTを無効化するにはどうすればよいですか？

JWTは設計上ステートレスであり、直接無効化することはできません。一般的な戦略には、短い有効期限の設定、トークンのブラックリスト、または署名キーの変更（すべてのトークンが無効化される）があります。