IT用語
(
ひよぺん
)
Home
コラム
用語集
About
検索
Ctrl K
Esc
見つかりませんでした
調べたいIT用語を入力してね
JWT
じょっと
セキュリティ
用語集
› 🔒 セキュリティ › JWT
【じょっと】
JWT とは?
最終更新:
2026年3月25日
💡 「改ざん検知付きの身分証明書」をJSONで
📌 このページのポイント
Header.Payload.Signature の3パートで構成
ステートレスで
サーバー
側に
セッション
保存不要
JWS(署名付き)とJWE(暗号化)の2種類
トークン
の無効化が難しいため、短い有効期限とリフレッシュトークンを併用
JWT(JSON Web Token)の構造
eyJhbGciOi...
.
eyJzdWIiOi...
.
SflKxwRJ...
ドット(.)で3つのパートに分かれる
Header
アルゴリズム&タイプ
{
"alg": "HS256",
"typ": "JWT"
}
Payload
クレーム(データ)
{
"sub": "1234567",
"name": "Ken",
"exp": 1700000 }
Signature
署名(改ざん防止)
HMACSHA256(
base64(header) +
base64(payload),
secret )
各パートはBase64URLエンコードされる(暗号化ではない)
Payloadは誰でも読める → 機密情報は入れない
サーバーは署名を検証することで、トークンの改ざんを検知できる
JWTは3パート構成のトークンで、署名により改ざんを防止する
ひよこ
JWTって何が入ってるの?
ペンギン先生
3つのパートをドットで繋いだ
文字列
だよ。Header(
アルゴリズム
情報)、Payload(ユーザーID、権限、有効期限などのクレーム)、Signature(改ざん検知用の署名)。Payloadは
Base64
でエンコードされているだけで暗号化されていないから、機密情報は入れちゃダメだよ
ひよこ
セッション
との違いは?
ペンギン先生
セッション
方式は
サーバー
に
セッション
情報を保存してIDだけを
Cookie
に入れる。JWTは
トークン
自体にユーザー情報が含まれるから、
サーバー
側の保存が不要(ステートレス)。
マイクロサービス
や
スケールアウト
環境では、
セッション
共有の問題がないJWTが有利だよ
ひよこ
JWTのデメリットは?
ペンギン先生
①発行後に無効化できない(
ログアウト
しても
トークン
は有効期限まで生きている)、②Payloadが大きいとリクエストサイズが増える、③秘密鍵の管理が重要。無効化問題はブラックリスト(
Redis
等)やリフレッシュトークンのローテーションで緩和するのが一般的だね
ひよこ
JWTの安全な使い方は?
ペンギン先生
①アクセストークンの有効期限は短く(15分程度)、②リフレッシュトークンはhttpOnly
Cookie
に保存、③
アルゴリズム
は RS256 か ES256(HS256は共有秘密鍵なので
非推奨
)、④「alg: none」攻撃に注意(
ライブラリ
で対策済みか確認)。jwt.ioで
トークン
の中身をデコードして確認できるよ
まとめ:ざっくりこれだけ覚えればOK!
「JWT」って出てきたら「
JSON
形式の署名付き
トークン
」と思えればだいたいOK!
📖 おまけ:英語の意味
「JSON Web Token」
= JSONウェブトークン
💬 JSON形式のWeb Token(トークン)。発音は「ジョット」が公式だよ
🔗 あわせて読みたい
認証 とは?
OAuth とは?
セッション とは?
📝 この用語に関連するコラム
📝
【仕組み解説】JWTはどうやってユーザー認証を実現しているのか — トークンの中身を図解
シェアする
X
URLコピー
← 用語集にもどる