🧰미니 도구 모음
🔓

JWT 디코더

JWT 토큰의 Header·Payload·Signature를 즉시 디코딩하고 만료 여부·표준 클레임을 자동 표시. 토큰은 외부로 전송되지 않음.

HeaderPayloadSignature

JWT(JSON Web Token)란?

JWT는 RFC 7519로 표준화된 토큰 형식으로, 사용자 인증·권한·세션 정보를 안전하게 주고받기 위한 컴팩트한 JSON 기반 토큰입니다. 점(.)으로 구분된 Header·Payload·Signature 세 부분으로 구성되며, 각 부분은 Base64Url로 인코딩됩니다. 웹 API 인증의 사실상 표준이며, OAuth 2.0/OIDC, Firebase Auth, Auth0, AWS Cognito, 카카오·네이버 로그인, 슈퍼토큰 등 거의 모든 모던 인증 시스템이 JWT를 사용합니다. 본 디코더는 토큰을 입력하면 Header·Payload를 즉시 JSON으로 변환하고, 표준 클레임(iss, sub, exp 등)을 한국어 설명과 함께 표시하며, 만료시간(exp)을 사람이 읽을 수 있는 날짜로 변환해 유효/만료 여부를 색상으로 표시합니다. 모든 디코딩은 브라우저에서 이뤄지므로 인증 토큰이 외부 서버로 전송되지 않습니다.

JWT 표준 클레임(Claim) 일람

이름의미
issIssuer발급자(서버 도메인)
subSubject토큰 주체(보통 사용자 ID)
audAudience대상(어떤 서비스용)
expExpiration만료 시각(Unix 초)
nbfNot Before활성 시작 시각
iatIssued At발급 시각
jtiJWT ID고유 식별자(중복 방지)

JWT 보안 체크리스트

  • Payload는 평문 — Base64는 인코딩일 뿐 암호화가 아닙니다. 비밀번호·주민번호 등 민감 정보 절대 금지.
  • 서명 알고리즘 확인 — alg: "none" 공격 방어. HS256 또는 RS256 사용 권장.
  • 짧은 만료 시간 — Access Token은 15~30분, Refresh Token은 별도로 저장.
  • HTTPS 필수 — JWT 가로채기 방지. HTTP에서는 절대 토큰 전송 금지.
  • 서버 검증 — 클라이언트 디코딩 결과를 신뢰하지 말고 서명 검증 후 사용.
  • 로그아웃 처리 — JWT는 서버 상태가 없어 로그아웃이 어려움. 블랙리스트 또는 짧은 만료로 보완.

자주 묻는 질문 (FAQ)

Q. 입력한 JWT가 외부로 전송되나요?

A. 아니요. 모든 디코딩은 브라우저에서 수행되며 토큰이 외부 서버로 전송되지 않습니다. 인증 토큰·세션 토큰을 안심하고 검사하세요.

Q. Signature는 검증되나요?

A. 본 도구는 디코딩만 합니다. Signature 검증에는 발급 서버의 비밀키(HS256) 또는 공개키(RS256)가 필요하며, 키 노출 위험이 있어 클라이언트에서 검증해서는 안 됩니다. 서버에서만 검증하세요.

Q. JWT 만료 시간은 어떻게 표시되나요?

A. exp 필드는 Unix 초 단위 timestamp로 저장됩니다. 본 도구는 이를 사용자 시간대 기준 사람이 읽을 수 있는 날짜로 변환해 표시하고, 현재 시각보다 이전이면 빨강(만료), 이후면 초록(유효)으로 색상 표시합니다.

Q. JWT를 직접 만들 수 있나요?

A. 본 도구는 디코딩 전용입니다. JWT 생성에는 비밀키 서명이 필요하므로 jsonwebtoken(Node.js), PyJWT(Python), jjwt(Java) 같은 서버 라이브러리를 사용하세요.

Q. 한글이 깨져 보이는데요?

A. 본 도구는 UTF-8 디코딩을 기본 지원합니다. 깨진다면 토큰이 손상되었거나 발급 서버가 잘못된 인코딩을 사용했을 가능성이 있습니다. 원본 토큰을 다시 확인하세요.

사용 방법

  1. 1디코딩할 JWT 토큰을 입력창에 붙여넣으세요.
  2. 2Header, Payload 내용이 자동으로 디코딩되어 표시됩니다.
  3. 3만료 시간(exp), 발급자(iss) 등 클레임 정보를 확인하세요.

활용 예시

  • API 인증 토큰 내용 확인
  • JWT 만료 시간 체크
  • 토큰 페이로드 디버깅
  • OAuth 토큰 클레임 확인

자주 묻는 질문

Q. JWT 서명 검증도 되나요?

A. 이 도구는 디코딩(내용 확인)만 지원하며 서명 검증은 지원하지 않습니다. 서명 검증은 서버에서 시크릿 키로 수행해야 합니다.

Q. 민감한 정보가 담긴 토큰을 입력해도 안전한가요?

A. 모든 처리는 브라우저에서만 이루어지며 서버로 전송되지 않습니다. 단, 공용 컴퓨터에서는 사용에 주의하세요.