// 서버로 데이터를 보내지 않고 JWT 디코딩
| 클레임 | 값 |
|---|
| 클레임 | 값 |
|---|
지원: 일반 텍스트, Base64, PEM 공개 키, JWK 형식
JSON Web Token을 복사하여 입력 필드에 붙여넣으세요. JWT 디코더가 Base64URL로 인코딩된 토큰을 자동으로 즉시 파싱하고 디코딩합니다.
디코딩된 JWT 헤더와 페이로드를 검사하세요. iss, sub, exp, iat 같은 클레임을 JSON 또는 테이블 형식으로 사람이 읽을 수 있는 타임스탬프와 함께 확인하세요.
비밀 키 또는 공개 키를 입력하여 토큰의 서명을 검증하세요. HS256, HS384, HS512 (HMAC) 알고리즘을 지원합니다.
JSON Web Token (JWT)은 당사자 간에 정보를 안전하게 전송하기 위한 개방형 표준(RFC 7519)입니다. JWT는 최신 웹 애플리케이션, API 및 SSO(Single Sign-On) 시스템에서 인증, 권한 부여 및 정보 교환에 일반적으로 사용됩니다.
토큰 유형과 서명 알고리즘(예: HS256, RS256, ES256)을 포함합니다.
{"alg": "HS256", "typ": "JWT"}등록된 클레임(iss, exp, sub), 공개 클레임, 비공개 클레임을 포함합니다.
{"sub": "user123", "exp": 1699999999}토큰이 변조되지 않았음을 검증하는 암호화 서명입니다.
HMACSHA256(base64(header).base64(payload), secret)JWT는 REST API를 보호하기 위한 표준입니다. 로그인 후 서버가 JWT를 발급하고 클라이언트가 후속 요청에 Authorization: Bearer 헤더에 포함시킵니다.
JWT는 여러 애플리케이션에서 원활한 인증을 가능하게 합니다. 한 번의 로그인으로 조직의 모든 연결된 서비스에서 작동하는 토큰을 생성합니다.
당사자 간에 데이터를 안전하게 전송합니다. 서명은 발신자의 신원과 메시지가 전송 중에 변경되지 않았음을 보장합니다.
모바일 앱에 이상적인 무상태 인증입니다. 서버 측 세션이 필요 없습니다—JWT에 필요한 모든 사용자 정보가 포함되어 있습니다.
네, 이 JWT 디코더는 완전히 안전합니다. 모든 디코딩과 검증은 JavaScript를 사용하여 전적으로 브라우저에서 이루어집니다. 토큰과 비밀 키는 절대 서버로 전송되지 않습니다. 브라우저의 개발자 도구에서 네트워크 요청을 확인하여 이를 검증할 수 있습니다—데이터가 장치를 떠나지 않습니다.
디코딩은 단순히 Base64URL로 인코딩된 헤더와 페이로드를 읽을 수 있는 JSON으로 변환합니다. 키 없이도 누구나 JWT를 디코딩할 수 있습니다. 검증은 암호화 서명을 확인하여 토큰이 변조되지 않았고 신뢰할 수 있는 소스에서 발급되었는지 확인합니다. 검증에는 비밀 키(HMAC용) 또는 공개 키(RSA/ECDSA용)가 필요합니다.
이 도구는 모든 알고리즘으로 서명된 JWT를 디코딩할 수 있습니다. 서명 검증의 경우 현재 Web Crypto API를 사용하는 HMAC 알고리즘(HS256, HS384, HS512)을 지원합니다. RSA (RS256, RS384, RS512) 및 ECDSA (ES256, ES384, ES512) 검증 지원이 계획되어 있습니다.
일반적인 이유: 1) 잘못된 비밀 키—토큰에 서명한 것과 정확히 동일한 키를 사용하고 있는지 확인하세요. 2) 잘못된 형식—비밀이 Base64로 인코딩된 경우 UTF-8과 Base64 간에 전환해 보세요. 3) 알고리즘 불일치—헤더의 alg 클레임이 검증 방법과 일치하는지 확인하세요. 4) 토큰이 수정됨—헤더나 페이로드의 모든 변경은 서명을 무효화합니다.
RFC 7519에 정의된 등록된 클레임:
iss (발급자) – 토큰을 발급한 주체sub (주체) – 토큰이 나타내는 사용자 또는 엔티티aud (대상) – 토큰의 의도된 수신자exp (만료) – 토큰이 만료되는 Unix 타임스탬프nbf (이전 불가) – 이 시간 이전에는 토큰이 유효하지 않음iat (발급 시간) – 토큰이 생성된 시간jti (JWT ID) – 토큰의 고유 식별자