JWT 디코더 | JSON Web Token 분석 및 디버깅

보안브라우저에서 실행(업로드 없음)

JWT 디코딩 도구: JWT를 로컬에서 디코딩하여 헤더·페이로드·클레임·타임스탬프를 확인합니다. 서명 검증은 포함되지 않습니다.

표준: RFC 7519 - JSON Web Token (JWT)

⚠️ Security Notice

This tool only decodes JWT tokens without verifying signatures.

DO NOT use decoded tokens for authentication or authorization.

Always verify JWT signatures on the server side.

💡 실시간 모드: 입력하는 대로 자동으로 결과가 업데이트됩니다.

입력

출력

Loading…

JWT(JSON Web Token)를 디코딩하여 alg, exp, iss, aud 등의 주요 필드를 즉시 확인하세요. 이 도구는 서명 검증 기능을 포함하지 않으며, 신뢰 판단은 반드시 서버 측 검증으로 수행해야 합니다.

이 도구 사용 방법

1
JWT 토큰을 입력창에 붙여넣습니다. (형식: header.payload.signature)
2
자동으로 Header, Payload, Signature가 디코딩되어 표시됩니다.
3
exp(만료), iat(발급), nbf(유효 시작) 등의 클레임을 자동 변환해 표시합니다.
4
디코딩된 내용을 복사하거나 디버깅용으로 확인할 수 있습니다.
5
토큰의 신뢰 여부는 반드시 서버에서 서명 검증을 수행하세요.

사용 사례 및 예시

API 인증 디버깅

API 인증 토큰의 클레임, 만료 시간, 발급자를 확인해 디버깅합니다.

토큰 유효성 점검

JWT의 구조가 올바른지, exp/nbf/iat 값이 유효한지 확인합니다.

OAuth / OIDC 개발

OAuth 2.0 또는 OpenID Connect 개발 중 토큰의 발급·갱신 과정을 검증합니다.

보안 학습

JWT의 구조와 서명 원리를 학습하고 직접 분석해봅니다.

JWT의 구조와 원리

JWT는 세 부분으로 구성됩니다: Header, Payload, Signature.

Header에는 서명 알고리즘(alg)과 타입(typ)이 포함됩니다.

Payload에는 사용자 정보 및 클레임(claims: exp, iss, aud 등)이 포함됩니다.

Signature는 HMAC 또는 RSA/ECDSA 알고리즘으로 토큰 무결성을 보장합니다.

JWT는 암호화(encryption)가 아닌 인코딩(encoding)으로, 디코딩만으로 민감한 데이터가 노출될 수 있습니다.

자주 묻는 질문

Q.비밀키가 필요한가요?

A. 아니요. 디코딩은 단순히 내용을 확인하는 과정입니다. 실제 검증은 공개키 또는 비밀키를 이용해 서버 측에서 수행해야 합니다.

Q.안전한가요?

A. 모든 처리가 브라우저 내에서 로컬로 수행되며, 서버로 데이터가 전송되지 않습니다.

Q.데이터는 서버로 전송되나요?

A. 네. 이 도구는 완전히 클라이언트 측에서 동작하며, 입력한 토큰은 외부로 전송되지 않습니다.

Q.JWT는 암호화되어 있나요?

A. JWT는 Base64URL로 인코딩된 텍스트 형식이며 암호화되지 않습니다. 민감한 정보를 페이로드에 포함하지 마세요.