Command Palette

Search for a command to run...

JWT

JWT 디코더

JSON Web Token (JWT)을 브라우저에서 안전하게 디코딩합니다.

JWT Token
Paste your JWT here

What

JWT 디코더 정의

JWT(JSON Web Token)는 헤더/페이로드/서명으로 구성된 토큰이며, 이 도구는 내용을 디코딩합니다.

Cases

대표 활용 사례

1

발급자/만료 등 클레임 확인

2

인증 이슈 디버깅

3

토큰 구조 점검

How To

JWT 토큰을 디코딩하는 방법

JWT의 헤더, 페이로드, 서명을 확인하는 단계별 가이드입니다.

1

JWT 붙여넣기

디코딩할 JWT 문자열을 입력 필드에 붙여넣습니다.

2

구조 확인

헤더와 페이로드가 자동으로 디코딩되어 JSON으로 표시됩니다.

3

클레임 검토

exp, iat, sub 등 페이로드의 클레임을 확인합니다.

Knowledge

JWT 이해하기

JWT란?
JWT(JSON Web Token)는 당사자 간 정보를 안전하게 전송하기 위한 컴팩트하고 자체 포함된(self-contained) 방식입니다. 헤더.페이로드.서명 세 부분을 점(.)으로 구분한 문자열로, Base64URL로 인코딩되어 URL에서도 안전하게 전달됩니다.
JWT의 3가지 구성요소
헤더(Header)는 토큰 유형과 서명 알고리즘(예: HS256, RS256)을 담습니다. 페이로드(Payload)는 클레임(사용자 정보, 만료시간 등)을 포함합니다. 서명(Signature)은 헤더+페이로드를 비밀키로 서명해 위변조를 방지합니다.
표준 클레임(Registered Claims)
iss(발급자), sub(주체), aud(대상), exp(만료시간), nbf(사용시작시간), iat(발급시간), jti(고유ID)는 JWT 표준 클레임입니다. exp와 nbf는 유닉스 타임스탬프(초)로 표현되며, 토큰 유효성 검증에 핵심적입니다.
서명 알고리즘: HS256 vs RS256
HS256은 대칭키(HMAC-SHA256)로 같은 비밀키로 서명하고 검증합니다. RS256은 비대칭키(RSA-SHA256)로 개인키로 서명하고 공개키로 검증합니다. 마이크로서비스에서는 공개키만 배포하면 되는 RS256이 자주 사용됩니다.
JWT 보안 주의사항
페이로드는 누구나 디코딩할 수 있으므로 민감정보(비밀번호 등)를 넣지 마세요. 서명은 무결성만 보장하고 암호화는 아닙니다. 만료시간(exp)을 짧게 설정하고, alg: none 공격을 방지하기 위해 알고리즘을 서버에서 고정하세요.

FAQ

JWT 디코더 FAQ

이 디코더는 무엇을 하나요?
헤더와 페이로드를 로컬에서 Base64로 디코딩하며 비밀키가 필요 없습니다.
디코딩이 서명 검증을 의미하나요?
아닙니다. 검증은 서버에서 서명 키로 별도 수행해야 하며, 여기서는 구조만 보여줍니다.
JWT는 어디에 쓰이나요?
Authorization 베어러 토큰, API 세션, 만료(exp)/사용시점(nbf) 제어가 필요한 액세스·리프레시 플로우에 사용됩니다.
만료 확인은 어떻게 안전히 하나요?
exp/nbf 클레임을 읽어 현재 UTC 시간과 비교하세요. exp가 없는 토큰은 장기 토큰으로 보고 주기적으로 교체하세요.
JWT는 어떻게 시작됐나요?
JWT는 2015년 IETF 표준(RFC 7519)으로 제정되어 JSON과 서명을 이용해 보안 클레임을 교환하도록 만들어졌습니다.
지금도 JWT가 많이 쓰이나요?
웹 인증, 모바일 API, 마이크로서비스에서 가볍고 언어에 독립적이라 널리 사용됩니다.
JWT의 일반적인 활용 사례는?
베어러 인증 토큰, SSO 세션 전파, 임시 다운로드 링크, 서비스 간 사용자 메타데이터 전달 등에 쓰입니다.
JWT를 관리할 때 팁은?
만료 시간을 짧게 두고 서명 키를 순환하며, 알고리즘을 고정하고(none 금지) 페이로드를 작게 유지해 대역폭과 노출을 줄이세요.
JWT 디코더