JWT 디코더 및 검증기
Web Crypto API를 사용해 JSON Web Token을 디코딩하고 서명 (HS256, RS256, ES256, EdDSA)을 브라우저에서 검증합니다.
헤더
위에 토큰을 붙여넣으면 디코딩됩니다.
페이로드
위에 토큰을 붙여넣으면 디코딩됩니다.
클레임 요약
위에 토큰을 붙여넣으면 디코딩됩니다.
서명 검증
검증하려면 비밀 또는 공개 키를 붙여넣으세요.
사용 방법
JWT 디코더(JSON Web Token)는 서버 측에서 서명을 확인하지 않고 JWT 토큰의 헤더, 페이로드, 서명을 디코딩하여 표시합니다.
사용 방법:
- JWT 토큰(xxxxx.yyyyy.zzzzz 형식)을 입력 필드에 붙여넣습니다.
- 도구가 디코딩된 헤더와 페이로드를 읽기 쉬운 JSON으로 표시합니다.
- 서명은 표시되지만 확인되지 않습니다(비밀 키 필요).
예시: 로그인 JWT 토큰 → 사용자 ID, 역할, 만료일이 표시됩니다.
제한사항: 서명 확인이 수행되지 않습니다. 서버 측 확인 없이 JWT 내용을 신뢰하지 마세요. 안전하지 않은 기기에서 민감한 데이터가 포함된 토큰을 디코딩하지 마세요.
개인정보 보호: 디코딩은 완전히 로컬에서 이루어집니다.
활용 사례
- 웹 또는 모바일 앱의 인증 버그를 토큰이 정확히 어떤 클레임을 포함하는지 검사하여 디버깅
- 만료되거나 변조된 토큰이 승인 로직에 의해 올바르게 거부되는지 확인
- 아이덴티티 제공자가 올바른 키와 알고리즘으로 토큰에 서명하는지 확인
- JWT 구조, 클레임, 일반적인 실수 (alg none, 키 혼동, exp 누락)를 실제 예시로 교육
- 다운스트림 서비스에서 토큰이 거부되는 프로덕션 사고의 빠른 분류
자주 묻는 질문
- 디코더가 서명을 확인하나요?
- 아니요, 디코딩된 데이터만 표시합니다. 확인은 서버 측 비밀 키가 필요합니다.
- JWT를 디코딩하는 것이 위험한가요?
- 아니요, 데이터는 암호화된 것이 아니라 Base64로 인코딩된 것입니다. 누구나 읽을 수 있습니다.
- 페이로드에는 무엇이 포함되나요?
- 일반적으로 사용자 ID, 역할, 만료일 및 기타 클레임이 포함됩니다.
- 페이로드의 exp는 무엇인가요?
- Unix 타임스탬프 형식의 토큰 만료일입니다.
- 토큰이 서버로 전송되나요?
- 아니요, 디코딩은 완전히 로컬입니다.