Authorization Inspect

認証ヘッダーとトークン情報をブラウザ内で点検します。入力はサーバーへ送信しません。期限・claim・schemeの一次切り分けに使えます。

状態

ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。

使い方

Authorization か Request Headers を貼り付けて「解析」。スキームと内容の概要を整理します。

注意(このツール)

  • Authorization: のヘッダー行でも解析できます(複数行の貼り付けもOK)。
  • 機密情報は貼り付けないでください。必要ならトークンをマスクしてから使用してください。

このページについて

何をするツール?

Authorization を分解し、スキーム(Basic/Bearer/ApiKey など)と値の概要を一覧表示します。

401/403 の切り分け、トークン形式の確認、ヘッダーの付け間違いの検出に向きます。

基本(Authorization の役割)

  • Authorization は「クライアントが送る認証情報」です。
  • 認証方式はスキームで区別されます(Basic/Bearer など)。
  • 401 では WWW-Authenticate がセットで出るのが一般的です。

入力の例

  • Authorization: Bearer eyJhbGciOi...
  • Authorization: Basic dXNlcjpwYXNz
  • Request Headers をまるごと貼り付け

代表的なスキーム

  • Bearer: アクセストークン(JWTなど)
  • Basic: ID/パスワード(Base64)
  • ApiKey / Token: 独自実装のAPIキー

Bearer(JWT など)で見るポイント

  • JWT らしい形式(3セグメントのBase64url)か確認
  • exp/iat/nbf の期限を確認
  • 署名検証は JWT Verifier で行う

Basic 認証で見るポイント

  • Base64 は暗号ではなく可逆です。HTTPS必須。
  • ユーザー名/パスワードの区切りは ":" です。

よくある落とし穴

  • Bearer なのに "Token" など別スキームで送っている
  • Authorization が無く、Cookieだけで認証している
  • トークンが期限切れで 401 になる
  • CORS の Allow-Headers に Authorization が無く preflight で失敗

切り分け手順(おすすめ)

  • Request Headers Parser で Authorization を抽出
  • このツールでスキームと形式を確認
  • WWW-Authenticate Inspect で 401 の条件を確認
  • WWW-Authenticate Inspect
  • HTTP Status Inspect
  • Request Headers Parser
  • JWT Decoder
  • JWT Verifier

このツールでできること

  • Authorization スキームと値の概要を表示
  • Basic/Bearer の判定補助
  • JWT形式かどうかの簡易判定

注意(運用)

  • 判定結果だけで信頼判定はできません。署名検証とissuer確認を必ず実施してください。
  • 時刻ずれや環境設定差で再現性が変わるため、検証時刻と設定を記録してください。

参照仕様

  • RFC 9110(HTTP Semantics)
  • RFC 7617(Basic認証)
  • RFC 6750(Bearer Token)
  • MDN: Authorization

FAQ

Authorization が無いのに動くのはなぜ?

CookieやIP制限など別の認証手段を使っている可能性があります。どの仕組みが前提かを整理しましょう。

Bearer トークンが JWT ではないことはある?

あります。Bearer は「方式」の名称で、JWT形式に限りません。

Basic は安全?

HTTPS前提で使う必要があります。Base64は暗号ではなく可逆です。

参考リンク

  1. RFC 9110
  2. RFC 7617
  3. RFC 6750
  4. MDN: Authorization
  5. MDN: HTTP authentication

症状別ケーススタディ(このページ向け)

Authorizationヘッダー形式を検査し、単純な実装ミスを早期に検出するページです。

  • Bearer プレフィックス有無と空白数を確認する
  • Basic認証のbase64形式不正を確認する
  • 複数Authorizationヘッダー混在を確認する

実装時チェックリスト(このページ向け)

  • ゲートウェイでAuthorizationヘッダー透過設定を確認する
  • サーバー側で受理形式を厳格にバリデーションする
  • ログ出力時はトークン値をマスクする
  • クライアントSDKのヘッダー生成実装を共通化する

site_map ルールに基づいて、次に確認すべきページを表示しています。

  1. JWT 401/403 切り分け手順 — Authorization / WWW-Authenticate / claims / 署名検証を連携して 401 と 403 を分離する
  2. JWT Decoder と Verifier の使い分け — デコード確認と署名検証の役割差を整理し、401/403 切り分け導線へつなぐ
  3. WWW-Authenticate Inspect — WWW-Authenticate challenge を解析
  4. JWT Verifier — JWT署名(HS/RS/ES)を検証
  5. JWT Clock Skew Check — iat/nbf/exp の時刻ズレを検出
  6. JWT TTL Check — exp/iat/nbf から有効期間と残TTLを算出
  7. OAuth Bearer Diagnostic — Bearer と WWW-Authenticate の整合を診断
  8. JWT 401/403 Troubleshooting — 401/403の認証失敗をヘッダーとJWTクレームから症状別に切り分け

認証

Bearer・WWW-Authenticate・JWT を横断して認証失敗を切り分け