JWT 토큰 디코딩
헤더
.
페이로드
.
서명
헤더 (Header)
헤더가 여기에 표시됩니다.
페이로드 (Payload)
페이로드가 여기에 표시됩니다.
페이로드 분석
토큰 상태: 확인 중...
발행 시간 (iat):
-
만료 시간 (exp):
-
남은 시간:
-
JWT 토큰 인코딩
시간 헬퍼
분 후 만료
JWT 토큰
인코딩된 JWT 토큰이 여기에 표시됩니다.
JWT 토큰 검증
JWT란 무엇인가?
JWT(JSON Web Token)는 당사자 간 정보를 안전하게 전송하기 위한 컴팩트하고 독립적인 방식의 토큰입니다.
JWT 구조
- 헤더(Header) - 토큰 유형과 사용된 서명 알고리즘을 명시
- 페이로드(Payload) - 클레임(사용자 데이터) 정보
- 서명(Signature) - 토큰의 무결성을 검증하는 데 사용
일반적인 클레임
iss(발행자): 토큰 발행자sub(주제): 토큰 주제(일반적으로 사용자 ID)aud(대상): 토큰 대상자exp(만료 시간): Unix 타임스탬프로 표현된 만료 시간nbf(Not Before): 지정된 시간 이전에는 토큰이 유효하지 않음iat(발행 시간): 토큰이 발행된 시간jti(JWT ID): 토큰의 고유 식별자
주요 사용 사례
- 인증(Authentication): 사용자 로그인 후 세션 관리
- 정보 교환: 당사자 간 안전하게 정보 전송
- 권한 부여: 사용자의 역할 및 권한 정보 전달
- API 보안: API 요청 인증 및 권한 부여
주의사항: JWT 페이로드는 암호화되지 않고 Base64로 인코딩만 되어 있습니다. 민감한 정보는 넣지 마세요!
Sponsored
여기에 광고가 들어갈 수 있습니다.
Tip & FAQ
토큰 붙여넣기 → Ctrl+Enter
입력창 포커스 상태에서 Ctrl+Enter를 누르면
현재 탭(디코딩‧인코딩‧검증) 동작이 즉시 실행됩니다.
헤더·페이로드는 Base64url로 인코딩돼 있어 쉽게 읽을 수 있지만,
서명(Signature)은 비밀키/공개키로 검증해야 진짜 토큰인지 확인할 수 있습니다.
페이로드의
exp가 현재 시간보다 과거면 만료입니다.
서버는 보통 만료 토큰을 거부하니, 새로 발급받거나 exp 값을 늘려 재인코딩하세요.
HS256은 하나의 비밀키를 공유(HMAC)하고,
RS256은 공개키/개인키 쌍(RSA)으로 서명·검증을 분리합니다.
오픈 API 배포엔 RS256이 안전합니다.
RS256은 공개키/개인키 쌍(RSA)으로 서명·검증을 분리합니다.
오픈 API 배포엔 RS256이 안전합니다.
디코딩(읽기)은 문제없지만, 신뢰 결정은 반드시 서버에서!
브라우저 검증 결과를 그대로 믿고 중요한 처리를 하면 취약해집니다.
브라우저 검증 결과를 그대로 믿고 중요한 처리를 하면 취약해집니다.
전송되지 않습니다. 모든 처리는 100 % 브라우저 로컬에서 이루어져
키·토큰이 네트워크로 나가지 않습니다.