JWTの中身は誰でも見れますか？

はい。ペイロードはBase64Urlエンコードされているだけなので、デコードすれば誰でも読めます。機密情報をJWTに含めてはいけません。

中身を改ざんして送信したらどうなる？

サーバーが秘密鍵で署名を検証するため、改ざんは必ず検知されます。署名が一致しないため401エラーが返されます。

結論

JWTの中身は誰でもデコードできる（暗号化ではない）。ただし署名があるため改ざんはできない。

JWTは Header.Payload.Signature の3つをドット（.）で繋いだ文字列です。

HeaderとPayloadは Base64Urlエンコードされているだけ なので、デコードすれば中身が読めます。

暗号化（Encryption）	エンコード（Encoding）
鍵がないと元に戻せない	誰でも元に戻せる
目的：中身を隠す	目的：データ形式の変換

重要

JWTにパスワードやカード番号を含めるのは絶対NG。含めるのはユーザーIDや有効期限など、漏れてもクリティカルではない情報のみ。

例えば、以下のようなJWTの場合：

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0IiwibmFtZSI6IlRhcm8ifQ.xxxxx

2番目の部分（ペイロード）をBase64デコードすると：

{
  "sub": "1234",
  "name": "Taro"
}

「認証が通らない」「権限が反映されない」といった不具合のデバッグでは、まずペイロードの中身を確認するのが第一歩です。

「ペイロードを書き換えたらどうなるか？」——サーバーが署名で弾きます。

サーバーはJWT発行時に、秘密鍵を使ってHeaderとPayloadからシグネチャを計算しています。ペイロードが1文字でも変わると計算結果が変わるため、送られてきた署名と一致しなくなります。

結果：401 Unauthorized が返される。

🧪 JWTデコードツール

貼り付けるだけでHeader・Payloadを確認できます