JWT 디코더

JSON 웹 토큰을 즉시 디코드 & 검사

JWT 디코더는 JSON 웹 토큰(JWT)을 디코드, 파싱, 검사하는 무료 온라인 도구입니다. 토큰의 헤더, 페이로드, 서명, 클레임을 즉시 확인하세요. OAuth 2.0, OpenID Connect, 최신 웹 애플리케이션에서 사용되는 인증 및 권한 부여 토큰을 디버그할 수 있습니다. 완전히 브라우저 내에서 작동하며 프라이버시를 보호합니다 - 토큰이 서버로 전송되지 않습니다.

JWT 디코더 사용 방법

JWT 토큰 디코딩은 간단하고 즉시 완료됩니다:

1단계: JWT 토큰 붙여넣기
입력 필드에 전체 JWT 토큰을 붙여넣으세요. JWT 토큰은 일반적으로 'eyJ'로 시작하며 점(.)으로 구분된 세 부분(header.payload.signature)으로 구성됩니다.
2단계: 자동 디코딩
토큰이 실시간으로 자동으로 디코드되고 파싱됩니다. 버튼을 클릭할 필요가 없습니다 - 붙여넣으면 즉시 결과가 표시됩니다.
3단계: 토큰 부분 검사
디코드된 헤더(알고리즘, 유형), 페이로드(클레임, 만료 시간, 발급 시간), 서명을 확인하세요. 각 부분은 읽기 쉽고 디버그하기 쉽도록 포맷된 JSON으로 표시됩니다.

모든 JWT 디코딩 및 파싱은 JavaScript를 사용하여 브라우저에서 로컬로 수행됩니다. 토큰이 장치를 벗어나지 않으며 서버로 전송되지 않으므로 완전한 프라이버시와 보안이 보장됩니다.

form.title

JWT 토큰 입력

활용 사례

usecases.intro

API 인증 디버깅

인증 오류로 API 요청이 실패할 때, JWT를 디코딩하여 만료 시간, 발급자, 대상 클레임을 확인하고 근본 원인을 파악합니다.

보안 감사

애플리케이션에서 사용되는 JWT를 검사하여 민감한 데이터가 페이로드에 노출되지 않았는지, 적절한 알고리즘이 사용되고 있는지 확인합니다.

개발 및 테스트

개발 중에 생성된 토큰에 올바른 클레임, 역할 및 권한이 포함되어 있는지 통합 테스트 전에 빠르게 확인합니다.

토큰 만료 분석

'exp' 및 'iat' 클레임을 확인하여 토큰 유효 기간을 파악하고 애플리케이션의 세션 타임아웃 문제를 해결합니다.

JWT 구조 학습

JWT를 처음 접하는 학생과 개발자가 세 부분 구조(헤더, 페이로드, 서명)를 시각적으로 이해하여 토큰 기반 인증 작동 방식을 배울 수 있습니다.

JWT(JSON Web Token)란?

JWT(JSON Web Token)는 JSON 객체로 당사자 간에 정보를 안전하게 전송하기 위한 개방형 표준(RFC 7519)입니다. 컴팩트하고 URL에 안전하며, 현대 웹 애플리케이션의 인증 및 정보 교환에 널리 사용됩니다.

세 부분 구조

JWT는 점으로 구분된 세 부분으로 구성됩니다: 헤더(알고리즘 및 토큰 유형), 페이로드(클레임 및 데이터), 서명(검증 해시). 각 부분은 안전한 전송을 위해 Base64URL로 인코딩됩니다.

주요 용도

JWT는 주로 인증(로그인 세션), 권한 부여(액세스 제어), 서비스 간 안전한 정보 교환에 사용됩니다. 상태 비저장 방식으로 서버 측 세션 저장소가 필요 없습니다.

보안 고려사항

JWT는 변조 방지를 위해 서명되지만, 페이로드는 암호화가 아닌 인코딩만 됩니다. 비밀번호와 같은 민감한 데이터를 JWT에 저장하지 마세요. 항상 서버 측에서 서명을 확인하고 전송에는 HTTPS를 사용하세요.

자주 묻는 질문 (FAQ)

JWT 디코딩과 검증의 차이점은 무엇인가요?

디코딩은 Base64Url 디코딩을 사용하여 토큰에서 헤더와 페이로드를 추출하고 읽는 것을 의미합니다 - 누구나 할 수 있습니다. 검증은 토큰이 변조되지 않았는지 확인하기 위해 서명을 확인하는 것을 의미합니다 - 이를 위해서는 비밀 키 또는 공개 키가 필요합니다. 저희 도구는 토큰을 디코딩만 합니다. 서명 검증은 보안 서버에서 수행해야 합니다.

여기에 JWT 토큰을 붙여넣어도 안전한가요?

저희 도구는 브라우저에서 완전히 토큰을 처리합니다 - 서버로 아무것도 전송되지 않습니다. 그러나 프로덕션 토큰에는 여전히 주의가 필요합니다. 최대한의 보안을 위해 테스트/개발 토큰만 사용하거나 웹 페이지를 로컬로 저장하여 오프라인에서 이 도구를 사용하세요.

JWT가 'eyJ'로 시작하는 이유는 무엇인가요?

모든 JWT는 'eyJ'로 시작합니다. 헤더 JSON(일반적으로 {"alg":"HS256","typ":"JWT"})이 '{"'로 시작하며 이것이 Base64Url로 인코딩되면 'eyJ'가 되기 때문입니다. 이는 문자열이 JWT 토큰임을 나타내는 신뢰할 수 있는 지표입니다.

이 도구가 JWT 서명을 검증할 수 있나요?

아니요, 서명 검증에는 비밀 키(HMAC 알고리즘) 또는 공개 키(RSA/ECDSA 알고리즘)가 필요합니다. 이러한 키를 온라인 도구에 입력하는 것은 심각한 보안 위험입니다. 항상 신뢰할 수 있는 라이브러리를 사용하여 자체 보안 서버에서 서명을 검증하세요.

페이로드의 'exp'는 무엇을 의미하나요?

'exp'(만료) 클레임은 토큰이 만료되는 Unix 타임스탬프를 나타냅니다. 토큰은 이 시간 이후에 거부되어야 합니다. 예를 들어 'exp': 1735689600은 토큰이 2025년 1월 1일 00:00:00 UTC에 만료됨을 의미합니다.

토큰에 점이 두 개가 아니라 세 개 있습니다. 유효한가요?

표준 JWT에는 세 부분(header.payload.signature)을 구분하는 정확히 두 개의 점이 있습니다. 추가 점은 토큰이 잘못된 형식이거나 이중 인코딩되었거나 표준 JWT가 아님을 나타낼 수 있습니다. 토큰 생성 코드를 확인하세요.

이 도구를 OAuth 2.0 토큰에 사용할 수 있나요?

예! OAuth 2.0 액세스 토큰 및 ID 토큰(OpenID Connect에서)은 종종 JWT입니다. 디코딩하여 사용자 정보, 범위, 만료 시간 및 기타 클레임을 볼 수 있습니다. 그러나 일부 OAuth 제공자는 디코딩할 수 없는 불투명 토큰(임의 문자열)을 사용합니다.

'none' 알고리즘이란 무엇이며 왜 위험한가요?

'none' 알고리즘은 토큰에 서명이 없음을 의미합니다. 서버가 'alg': 'none'이 있는 토큰을 수락하면 공격자는 임의의 클레임이 있는 헤더/페이로드를 생성하고 서명 없이 토큰을 위조할 수 있습니다. 안전한 시스템은 항상 'none' 알고리즘이 있는 토큰을 거부해야 합니다.