JWT 徹底解説: 構造、セキュリティ、よくある落とし穴

JWT は便利ですが、実装を誤ると回収しづらい認証情報になります。手軽さより、検証規律の方が重要です。

3 つの部分

JWT は header、payload、signature の 3 部で構成されます。payload は読める前提なので、機密情報は入れてはいけません。

必須の検証

• 署名アルゴリズムのホワイトリスト
• exp、iss、aud の確認
• 短命な access token
• 必要なら refresh token の分離

失効の考え方

JWT は本質的に失効が難しいため、短い TTL、ブラックリスト、鍵ローテーションなどの戦略が必要です。

実務のコツ

調査にはブラウザ内で動く JWT Inspector のようなローカルツールを使う方が安全です。運用トークンを外部デコーダへ送るべきではありません。