디코딩된 페이로드를 그대로 신뢰하는 경우
디코딩된 클레임은 읽을 수 있을 뿐 신뢰된 값이 아닙니다. 서명, 알고리즘, 발급자, 대상, 만료를 서버에서 검증해야 합니다.
JWT 디코더 | JSON Web Token 분석 및 디버깅
보안브라우저에서 실행(업로드 없음)
JWT(JSON Web Token)를 디코딩하여 alg, exp, iss, aud 등의 주요 필드를 즉시 확인하세요. 이 도구는 서명 검증 기능을 포함하지 않으며, 신뢰 판단은 반드시 서버 측 검증으로 수행해야 합니다.
Loading…
다음에 할 작업
관련 작업 흐름을 이어가거나 이 작업 다음에 자주 사용하는 도구를 열어보세요.
작업 가이드
API payload를 Base64로 디코딩하기
API payload를 Base64로 디코딩하기가 필요할 때 원본 데이터를 정리하고 설정을 확인한 뒤 복사하거나 저장할 수 있는 결과로 마무리하는 흐름입니다.
열기관련 도구Base64 인코더·디코더 | 텍스트·URL-Safe·UTF-8
텍스트를 Base64로 인코딩/디코딩—UTF-8·URL-safe 지원, 브라우저 로컬 처리.
열기관련 도구해시 생성기 | MD5, SHA-1, SHA-256, SHA-512
MD5·SHA-1/256/512 해시를 브라우저에서 즉시 계산.
열기관련 도구JSON 포매터·검증기 | 보기·미니파이
JSON을 예쁘게 출력·검증·미니파이하고 오류 위치까지 즉시 표시.
열기이 도구 사용 방법
- 1
JWT 토큰을 입력창에 붙여넣습니다. (형식: header.payload.signature)
- 2
자동으로 Header, Payload, Signature가 디코딩되어 표시됩니다.
- 3
exp(만료), iat(발급), nbf(유효 시작) 등의 클레임을 자동 변환해 표시합니다.
- 4
디코딩된 내용을 복사하거나 디버깅용으로 확인할 수 있습니다.
- 5
토큰의 신뢰 여부는 반드시 서버에서 서명 검증을 수행하세요.
이 도구를 써야 할 때
API 인증 디버깅
API 인증 토큰의 클레임, 만료 시간, 발급자를 확인해 디버깅합니다.
토큰 유효성 점검
JWT의 구조가 올바른지, exp/nbf/iat 값이 유효한지 확인합니다.
OAuth / OIDC 개발
OAuth 2.0 또는 OpenID Connect 개발 중 토큰의 발급·갱신 과정을 검증합니다.
보안 학습
JWT의 구조와 서명 원리를 학습하고 직접 분석해봅니다.
흔한 실수
JWT 클레임에 비밀 값을 넣는 경우
JWT 페이로드는 보통 암호화가 아니라 인코딩입니다. 비밀번호, API 키, 민감한 개인정보를 클레임에 넣지 마세요.
토큰 형식만 확인하는 경우
형식이 정상이어도 만료됐거나 다른 앱을 대상으로 발급된 토큰일 수 있습니다. exp, nbf, iat, iss, aud를 함께 확인하세요.
예시
Access token claim 확인
인증 디버깅 중 payload를 디코딩해 subject, role, 만료 시간을 확인합니다.
입력
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyXzEyMyIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTc3ODY4NjQwMH0.signature출력
{
"sub": "user_123",
"role": "admin",
"exp": 1778686400
}Header의 알고리즘 확인
서버에서 검증하기 전에 토큰이 HS256, RS256 등 어떤 알고리즘을 선언하는지 확인합니다.
입력
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.payload.signature출력
{
"alg": "RS256",
"typ": "JWT"
}JWT의 구조와 원리
JWT는 세 부분으로 구성됩니다: Header, Payload, Signature.
Header에는 서명 알고리즘(alg)과 타입(typ)이 포함됩니다.
Payload에는 사용자 정보 및 클레임(claims: exp, iss, aud 등)이 포함됩니다.
Signature는 HMAC 또는 RSA/ECDSA 알고리즘으로 토큰 무결성을 보장합니다.
JWT는 암호화(encryption)가 아닌 인코딩(encoding)으로, 디코딩만으로 민감한 데이터가 노출될 수 있습니다.
자주 묻는 질문
Q.비밀키가 필요한가요?
A. 아니요. 디코딩은 단순히 내용을 확인하는 과정입니다. 실제 검증은 공개키 또는 비밀키를 이용해 서버 측에서 수행해야 합니다.
Q.안전한가요?
A. 모든 처리가 브라우저 내에서 로컬로 수행되며, 서버로 데이터가 전송되지 않습니다.
Q.데이터는 서버로 전송되나요?
A. 네. 이 도구는 완전히 클라이언트 측에서 동작하며, 입력한 토큰은 외부로 전송되지 않습니다.
Q.JWT는 암호화되어 있나요?
A. JWT는 Base64URL로 인코딩된 텍스트 형식이며 암호화되지 않습니다. 민감한 정보를 페이로드에 포함하지 마세요.
관련 작업 가이드
도구를 열기 전에 자주 쓰는 작업 흐름과 예시를 확인하세요.
작업 가이드
API payload를 Base64로 디코딩하기
API payload를 Base64로 디코딩하기가 필요할 때 원본 데이터를 정리하고 설정을 확인한 뒤 복사하거나 저장할 수 있는 결과로 마무리하는 흐름입니다.
작업 가이드SHA-256으로 파일 체크섬 확인하기
SHA-256으로 파일 체크섬 확인하기가 필요할 때 원본 데이터를 정리하고 설정을 확인한 뒤 복사하거나 저장할 수 있는 결과로 마무리하는 흐름입니다.
작업 가이드JWT를 안전하게 디코딩하기
JWT를 안전하게 디코딩하기가 필요할 때 원본 데이터를 정리하고 설정을 확인한 뒤 복사하거나 저장할 수 있는 결과로 마무리하는 흐름입니다.
작업 가이드HTTP 응답 헤더 확인하기
HTTP 응답 헤더 확인하기가 필요할 때 원본 데이터를 정리하고 설정을 확인한 뒤 복사하거나 저장할 수 있는 결과로 마무리하는 흐름입니다.
관련 도구
더 많은 개발자 도구를 둘러보세요
Base64 인코더·디코더 | 텍스트·URL-Safe·UTF-8
텍스트를 Base64로 인코딩/디코딩—UTF-8·URL-safe 지원, 브라우저 로컬 처리.
인코딩
해시 생성기 | MD5, SHA-1, SHA-256, SHA-512
MD5·SHA-1/256/512 해시를 브라우저에서 즉시 계산.
인코딩
JSON 포매터·검증기 | 보기·미니파이
JSON을 예쁘게 출력·검증·미니파이하고 오류 위치까지 즉시 표시.
포맷팅
URL 인코더·디코더 | 퍼센트 인코딩 (UTF-8)
브라우저 내에서 안전하게 URL 인코딩 및 디코딩. UTF-8 완전 지원.
인코딩
HTTP 헤더 파서 | 요청 및 응답 헤더 확인
원시 HTTP 요청 또는 응답 헤더를 그룹화된 디버깅 출력으로 파싱합니다.
인코딩