FAQ
よくある質問
JWT (JSON Web Token) とは何ですか?
JWTは、安全に情報を転送するための、コンパクトでURLセーフなトークン形式です。ヘッダー(アルゴリズムとタイプ)、ペイロード(クレイム)、署名の3つの部分で構成されます。現代のウェブアプリケーションにおける認証や認可、情報交換によく使用されます。
オンラインでJWTをデコードしても安全ですか?
当社のデバッガーはすべてブラウザ内で処理を行います。トークンがサーバーに送信されることはないため、非常に安全です。ただし、機密情報が含まれる可能性があるため、本番環境のトークンを公の場で不必要に扱うことは避けてください。
JWTクレームとは何ですか?
JWTクレームは、トークンの主体(サブジェクト)に関する記述です。登録済みクレームには 'iss' (発行者), 'sub' (主体), 'aud' (対象者), 'exp' (期限), 'iat' (発行日時) などがあります。アプリケーション固有のカスタムクレームを含めることも可能です。
JWTの署名はどのように検証しますか?
署名はヘッダーで指定されたアルゴリズム(HS256、RS256など)を使用して検証されます。このデコーダーは内容を表示しますが、検証にはシークレットキーまたは公開キーが必要です。シークレットキーは決して公開しないでください。
JWTが「期限切れ」と表示されるのはなぜですか?
JWTには 'exp'(有効期限)クレームが含まれており、指定された時間を過ぎるとトークンは無効になります。その場合は、認証プロバイダーから新しいトークンを再取得する必要があります。
HS256とRS256の違いは何ですか?
HS256は対称鍵(シークレットキー)を署名と検証の両方に使用します。RS256は非対称鍵を使用し、秘密鍵で署名し、公開鍵で検証します。検証鍵を共有する必要がある分散システムではRS256が好まれます。