JWT 디코더

JWT 디코더 기능

• 01

  헤더, 페이로드 및 클레임 한눈에

  디코더는 JWT를 세 부분으로 분할하고, 헤더 및 페이로드를 JSON으로 예쁘게 인쇄하고, 표준 클레임(알고리즘, 주체, 발급자, 대상, 발급 시간, 만료)을 콤팩트 요약 위에 표시합니다.

• 02

  만료 및 타이밍 검사

  exp 클레임은 ISO 타임스탬프로 변환되고 현재 시계와 관련하여 유효 또는 만료로 태그됩니다. nbf(이전 아님) 및 iat(발급 시간)의 경우도 동일합니다. Unix-to-Date 수동 변환이 더 이상 필요하지 않습니다.

• 03

  디코더만 — 업로드되지 않음

  토큰은 기본 atob를 사용하여 브라우저에서 디코딩됩니다. 서버로 전송되는 것은 없습니다. 프로덕션 JWT, API 액세스 토큰 또는 세션 쿠키를 디버깅하는 동안 안전하게 붙여넣습니다.

JWT 디코더 자주 묻는 질문

JWT란 무엇인가요?

JSON 웹 토큰은 점으로 구분된 세 개의 Base64URL 인코딩 세그먼트로 구성된 콤팩트 URL 안전 토큰 형식입니다: 헤더(알고리즘 및 유형), 페이로드(클레임) 및 서명. JWT는 인증, 권한 부여 및 단기 API 액세스에 널리 사용됩니다.

이 디코더가 서명을 확인하나요?

아니요. 디코더는 헤더 및 페이로드를 파싱하여 내부 내용을 표시하기만 합니다. 서명 확인에는 발급자의 비밀 또는 공개 키가 필요하며, 이는 서버에 남아 있어야 합니다 — 절대 웹 도구에 붙여넣지 마세요. 앱의 서버 측에서 서명을 확인합니다.

실제 JWT를 여기에 붙여넣어도 안전한가요?

디코딩은 브라우저에서 완전히 수행되므로 토큰이 전송되지 않습니다. 그러나 JWT는 암호화되지 않습니다(토큰을 가진 누구나 클레임을 읽을 수 있음). 비밀번호처럼 취급하세요: 공유하지 마세요, 커밋하지 마세요, 누출되면 회전시키세요.

서명이 표시되지만 확인되지 않는 이유는 무엇인가요?

디버깅 중에 서버에서 생성하는 것과 비교할 수 있도록 서명이 표시됩니다. 실제 확인에는 서명 키(HMAC 비밀 또는 RSA/EC 공개 키)가 필요하며, 디코더는 이에 액세스할 수 없고 접근해서도 안 됩니다.

"exp"가 무엇을 의미하나요?

exp는 만료 클레임입니다 — 토큰이 거부되어야 하는 Unix 타임스탐프 이후입니다. 디코더는 ISO 타임스탐프로 변환하고 아직 미래에 있으면 녹색 태그를 표시하거나 토큰이 이미 만료되면 빨간색 태그를 표시합니다.