OAuth Bearer Diagnostic
認証ヘッダーとトークン情報をブラウザ内で点検します。入力はサーバーへ送信しません。期限・claim・schemeの一次切り分けに使えます。
状態
ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。
使い方
Request/Response Headers を貼り付けて「診断」。Bearer トークン送信と WWW-Authenticate 応答の不整合を確認します。
注意(このツール)
- 401/403 の扱いはAPI仕様で異なります。ステータスコードだけで即断しないでください。
- トークン期限切れ・スコープ不足・aud不一致は見え方が似るため、発行設定も併せて確認してください。
このページについて
何をするツール?
Authorization: Bearer と WWW-Authenticate を同時に確認し、401系の返し方を切り分けます。
「トークンは付けているのに通らない」ケースで、ヘッダーの基本不整合を最短で検出する用途に向いています。
推奨(実務)
- Authorization: Bearer を必ず使う
- 401 では WWW-Authenticate: Bearer を返す
- scope/error を返せるなら付与する
注意点
- このツールはヘッダー診断です。トークン失効、署名不正、権限判定ロジックまでは検証しません。
- 401時に challenge が無いと、クライアント側の再認証処理が不安定になることがあります。
- Bearer 以外のスキーム(Basic/DPoP等)は対象外です。
切り分け手順(おすすめ)
- トークンまたは認証ヘッダーを貼り付ける
- claim・scheme・期限を確認する
- 署名/スコープ/発行元を関連ツールで確認する
参照仕様
- RFC 6750(OAuth 2.0 Bearer Token Usage)
- RFC 9110(HTTP Semantics: Authentication)
FAQ
401 で何を返すとクライアント実装が安定しますか?
WWW-Authenticate: Bearer と error 情報を返すと、再認証処理の分岐が安定しやすくなります。
Authorization ヘッダーの典型ミスは?
Bearer プレフィックス欠落、余計な空白、トークン前後の改行混入が代表例です。
参考リンク
関連ツール
- Authorization Inspect
- WWW-Authenticate Inspect
次に見る(診断順)
site_map ルールに基づいて、次に確認すべきページを表示しています。
- JWT 401/403 Troubleshooting — 401/403の認証失敗をヘッダーとJWTクレームから症状別に切り分け
- Authorization Inspect — Authorization ヘッダー形式を解析
- WWW-Authenticate Inspect — WWW-Authenticate challenge を解析
- JWT Decoder — JWTのheader/payloadを復号して整形表示
- JWT Verifier — JWT署名(HS/RS/ES)を検証
- JWT Claim Audit — JWTの必須/推奨クレーム不足を監査
- JWT TTL Check — exp/iat/nbf から有効期間と残TTLを算出
- JWT Clock Skew Check — iat/nbf/exp の時刻ズレを検出
同テーマの導線
認証
Bearer・WWW-Authenticate・JWT を横断して認証失敗を切り分け
- JWT 401/403 Troubleshooting — 401/403の認証失敗をヘッダーとJWTクレームから症状別に切り分け
- JWT Claim Audit — JWTの必須/推奨クレーム不足を監査
- JWT TTL Check — exp/iat/nbf から有効期間と残TTLを算出
- JWT Clock Skew Check — iat/nbf/exp の時刻ズレを検出
- Authorization Inspect — Authorization ヘッダー形式を解析
- WWW-Authenticate Inspect — WWW-Authenticate challenge を解析
- JWT Decoder — JWTのheader/payloadを復号して整形表示
- JWT Verifier — JWT署名(HS/RS/ES)を検証