JWT 디코더

JWT 토큰

JWT 토큰을 붙여넣어 즉시 디코딩하세요.

JWT 토큰을 붙여넣어 즉시 디코딩하세요.

관련 도구

JWT 생성기HS256으로 JWT 토큰 생성Base64 인코더/디코더Base64 문자열을 온라인으로 인코딩 및 디코딩JSON 포맷터JSON 데이터 포맷 및 정리

이 도구에 대해

JWT(JSON Web Token) 디코딩은 인증 문제를 디버깅하거나, API 토큰을 검사하거나, SSO 통합 문제를 해결할 때 거의 매일 하는 작업입니다. 사용자가 '액세스 거부' 오류를 보고하면 가장 먼저 하는 일은 JWT를 디코딩하여 만료 시간, 역할 및 클레임을 확인하는 것입니다. 이 도구는 토큰을 서버에 보내지 않고 즉시 JWT를 디코딩합니다—프로덕션 액세스 토큰이나 고객 자격 증명을 처리할 때 중요합니다. 토큰을 세 부분(헤더, 페이로드, 서명)으로 분할하고 처음 두 부분을 Base64 디코딩하며 JSON 콘텐츠를 읽기 쉬운 형식으로 표시합니다. 서명은 표시되지만 확인되지 않습니다—이것은 검사 도구이지 검증 도구가 아닙니다. OAuth2 통합, Auth0/Cognito 토큰 디버깅 또는 JWT 기반 인증 작동 방식을 이해하는 개발자에게 완벽합니다. ### JWT 구조 JWT는 점(.)으로 구분된 3개 부분을 포함합니다: - **헤더** - 토큰 유형 및 서명 알고리즘 포함(예: HS256, RS256) - **페이로드(클레임)** - 실제 데이터 및 클레임 포함 - **서명** - 토큰이 변조되지 않았음을 확인 디코더는 개발자가 역할/권한 보기, 토큰 만료 확인, 발급자 정보 확인, API 범위 확인, 인증 구현 중 토큰 구조 검증과 같은 디버깅 목적으로 페이로드 내용을 빠르게 볼 수 있도록 도와줍니다. ### 사용 사례 **1. 인증 제공자의 토큰 디버그** - Firebase Auth - Auth0 - AWS Cognito - Supabase - Keycloak **2. 프론트엔드 개발** 확인: - claim role=admin이 존재합니까? - 사용자가 불평할 때 토큰이 만료되었습니까? - 토큰 구조가 올바릅니까? **3. 백엔드 개발** 백엔드에서 검증을 작성하기 전에 페이로드를 검증합니다. **4. QA / 테스트** API 테스트 중 API 토큰을 확인합니다. **5. 보안 검토(빠른 검사)** 서명 알고리즘(alg)의 보안 확인: - HS256, RS256, ES256 → ✓ 안전 - NONE → ⚠️ 안전하지 않음 **6. OAuth 2.0 / OpenID Connect 디버깅** 보기: - `iss` - 발급자 - `aud` - 대상 - `exp` - 만료 - `nonce` - 재생 공격 방지 - `azp` - 승인된 당사자

사용 방법

JWT 토큰(형식: xxxxx.yyyyy.zzzzz)을 입력 필드에 붙여넣습니다. 도구는 자동으로 헤더, 페이로드 및 서명 섹션으로 분할합니다. 헤더는 알고리즘(HS256, RS256 등) 및 토큰 유형을 표시합니다. 페이로드는 사용자 ID(sub), 만료(exp), 발급 시간(iat), 발급자(iss) 및 앱이 추가한 사용자 정의 클레임과 같은 클레임을 표시합니다. 만료 시간은 Unix 타임스탬프입니다—도구는 이를 읽기 쉬운 날짜로 변환할 수 있습니다. API가 401 오류를 반환할 때 토큰이 만료되었는지 확인하거나, 인증 디버깅 시 역할/권한 클레임이 있는지 확인하거나, JWT 구조를 학습할 때 사용하십시오. ### 사용 방법 1. JWT 토큰 복사 2. 입력 필드에 붙여넣기 3. 도구가 자동으로 헤더, 페이로드, 서명 분리 4. 디코딩된 결과 보기: JSON + 클레임 분석 5. 필요한 경우 복사/내보내기 버튼 사용

일반적인 사용 사례

인증 오류 디버그

사용자가 401 오류를 받음; 토큰을 디코딩하여 exp(만료) 타임스탬프가 지났는지 확인—토큰은 일반적으로 15-60분 후에 만료됩니다.

클레임 확인

액세스 토큰을 디코딩하여 다른 문제를 조사하기 전에 필요한 클레임(역할, 권한, 이메일 확인됨)이 있는지 확인합니다.

다중 테넌트 디버깅

토큰의 tenant_id 또는 organization_id 클레임을 확인하여 사용자가 올바른 테넌트 리소스에 액세스하는지 확인합니다.

토큰 비교

다른 환경(dev/staging/production)의 토큰을 디코딩하여 클레임 차이를 비교합니다.

OAuth2/OpenID 학습

Auth0, Cognito 또는 Keycloak의 샘플 토큰을 붙여넣어 aud(대상) 및 scope와 같은 구조 및 표준 클레임을 이해합니다.

제한 사항 및 중요 참고 사항

⚠️ **중요**: 이 도구는 토큰만 디코딩하고 서명을 확인하지 않습니다! 이 도구는 JWT만 디코딩합니다—서명을 확인하거나 토큰을 검증하지 않습니다. 유효한 클레임을 표시하는 디코딩된 토큰이 토큰이 진짜임을 의미하지 않습니다. 공격자는 거짓 클레임이 있는 토큰을 만들 수 있습니다. 항상 비밀 키 또는 공개 키(RS256의 경우)를 사용하여 서버 측에서 서명을 확인하십시오. 이 도구는 표준 JWT 형식(Base64URL 인코딩의 header.payload.signature)으로 작동합니다. 암호화된 JWT(JWE) 또는 중첩된 토큰은 처리하지 않습니다. 토큰에 바이너리 데이터 또는 비표준 인코딩이 포함된 경우 디코딩이 실패할 수 있습니다. 코드에서 자동 토큰 검증을 위해 jsonwebtoken(Node.js), PyJWT(Python) 또는 jose4j(Java)와 같은 적절한 JWT 라이브러리를 사용하십시오. 보안 참고 사항: 신뢰할 수 없는 온라인 도구에 민감한 프로덕션 토큰을 붙여넣지 마십시오—이 도구는 클라이언트 측에서 실행되지만 항상 DevTools 네트워크 탭에서 아무것도 업로드되지 않았는지 확인하십시오.