JWT ジェネレーター

JSON Web Token（JWT）は RFC 7519 で定義された、コンパクトで URL セーフなトークン形式です。Web アプリケーションや API での認証やセキュアな情報交換に広く使用されています。保護された API エンドポイントのテスト、ドキュメント用のサンプルトークン作成、またはバックエンドなしでの認証フローのデバッグに JWT の生成が必要な場合があります。

このツールは WebCrypto API を使用してブラウザ内で完全に動作します。データがサーバーに送信されることはありません。ただし、本番環境のシークレットではなくテスト用のシークレットキーを使用することをお勧めします。サードパーティのウェブサイトに機密認証情報を入力しないことがベストプラクティスです。

HS256（HMAC-SHA256）、HS384（HMAC-SHA384）、HS512（HMAC-SHA512）をサポートしています — JWT で最も広く使用される対称署名アルゴリズムです。テスト目的で "none"（未署名トークン）もサポートしています。RS256 や ES256 などの非対称アルゴリズムは秘密鍵が必要なため、ここではサポートされていません。

3 つはすべて HMAC ベースの署名アルゴリズムで、使用する SHA ハッシュ関数のみが異なります：HS256 は SHA-256（256 ビット署名）、HS384 は SHA-384、HS512 は SHA-512 を使用します。HS256 が最も一般的な選択です。より強力な署名が必要な場合は HS384 または HS512 を使用してください。

ペイロードは「クレーム」を含む JSON オブジェクトです — サブジェクト（ユーザー）またはセッションに関するキーと値のペアです。標準的な登録クレームには sub（ユーザー ID）、iss（発行者）、aud（オーディエンス）、exp（有効期限）、iat（発行時刻）、nbf（有効開始時刻）が含まれます。アプリケーションが必要とするカスタムクレームも追加できます。

"none" は未署名の JWT を生成します — 署名セクションが空になります。これは整合性保護を提供しないため、本番環境では絶対に使用しないでください。パーサーのテストや署名を検証しないシステム向けのトークン生成には有用かもしれませんが、常に安全でないものとして扱ってください。

標準クレームヘルパーを使用すると、一般的な JWT 登録クレームをペイロードに素早く追加できます。Subject（sub）、Issuer（iss）、および/または Audience（aud）フィールドを入力し、有効期限ウィンドウを選択します。ツールは iat を現在の Unix タイムスタンプに自動的に設定し、選択したウィンドウから exp を計算します。

JWT はドットで区切られた 3 つの部分で構成されます：Header（アルゴリズムとトークンタイプ）、Payload（クレーム）、Signature。内訳は各 base64url エンコードされた部分を色分けして表示するため、生成されたトークンの構造を視覚的に識別できます。

HMAC ベースの署名は決定論的です — ヘッダー、ペイロード、シークレットが同一であれば、出力は常に同じになります。異なるトークンが表示される場合は、iat クレームが現在のタイムスタンプに自動更新されていないか確認してください。それによりペイロードが変わり、署名も変わります。

このツールはトークンの生成と署名のために設計されています。既存の JWT をデコードして検査するには、JWT デコーダーツールを使用してください。このジェネレーターには暗号署名の検証は実装されていません。

ツールはテキストエリアの下に赤いエラーメッセージを表示し、JSON が有効になるまでトークンを生成しません。すべてのキーと文字列値がダブルクォートで囲まれ、全体の構造が有効な JSON オブジェクトであることを確認してください。

HS256 の場合、キーは少なくとも 32 バイト（256 ビット）必要です。HS384 では少なくとも 48 バイト、HS512 では少なくとも 64 バイト使用してください。より短いキーを使用することは技術的には許可されていますが、セキュリティが低下します。