JWT 디코더
어떤 JSON 웹 토큰이든 디코딩해 헤더와 페이로드, 클레임을 읽기 쉬운 형태로 살펴보고, 필요하면 HMAC(HS256/384/512) 서명까지 검증하세요. 모든 처리는 브라우저 안에서만 이루어집니다.
인코딩된 토큰
JWT 디코더 사용 방법
- 1
토큰 붙여넣기
인코딩된 JSON 웹 토큰을 입력란에 붙여넣으세요. 디코더가 자동으로 헤더와 페이로드, 서명으로 나눠 줍니다.
- 2
클레임 확인하기
디코딩된 헤더와 페이로드를 보기 좋게 정리된 JSON으로 살펴보고, 만료 시각이나 발급 시각 같은 등록된 클레임을 읽기 쉬운 날짜로 확인하세요.
- 3
서명 검증하기
HMAC 토큰이라면 서명용 시크릿을 입력해 서명이 유효한지, 그리고 토큰이 변조되지 않았는지 확인하세요.
- 4
필요한 부분 복사하기
정리된 헤더나 페이로드 JSON을 클립보드에 복사해 테스트나 문서 작성, 디버깅에 활용하세요.
자주 묻는 질문
JSON 웹 토큰(JWT)이란 무엇인가요?
JSON 웹 토큰은 두 당사자 사이에서 클레임을 주고받기 위한 간결하고 URL에 안전한 방식입니다. 점(.)으로 구분된 세 개의 Base64URL 인코딩 부분, 즉 헤더와 페이로드, 서명으로 이루어지며, 웹 API의 인증과 인가에 널리 사용됩니다.
JWT를 디코딩하면 비밀번호나 시크릿이 노출되나요?
아니요. 헤더와 페이로드는 암호화된 것이 아니라 Base64URL로 인코딩만 되어 있어 누구나 읽을 수 있습니다. 그래서 민감한 비밀 정보를 토큰 안에 저장해서는 안 됩니다. 서명에 사용하는 시크릿 자체는 토큰에 포함되지 않으며, 디코딩만으로는 복원할 수 없습니다.
여기서 서명 검증은 어떻게 이루어지나요?
HMAC 알고리즘(HS256, HS384, HS512)의 경우, 이 도구는 브라우저에 내장된 Web Crypto API를 사용해 헤더와 페이로드, 그리고 사용자가 입력한 시크릿으로 서명을 다시 계산한 뒤 토큰의 서명과 비교합니다. RS256, ES256 같은 비대칭 알고리즘은 공개 키가 필요하므로 디코딩은 되지만 검증은 하지 않습니다.
exp와 iat 클레임은 무슨 의미인가요?
exp(만료 시각)와 iat(발급 시각)는 초 단위 유닉스 타임스탬프로 저장되는 등록된 클레임입니다. 이 디코더는 이를 읽기 쉬운 날짜로 변환하고, 사용자 기기의 시계를 기준으로 토큰이 현재 유효한지, 아직 유효하지 않은지, 아니면 만료되었는지를 보여 줍니다.
내 토큰이 서버로 전송되나요?
아니요. 디코딩과 서명 검증은 전적으로 브라우저에서 실행됩니다. 토큰과 시크릿은 업로드되거나 기록·저장되지 않으므로, 운영 환경의 토큰이라도 완벽하게 보호됩니다.
관련 도구
이런 편리한 도구도 함께 사용해 보세요