개발자

JWT 디코더

JSON 웹 토큰을 붙여넣어 헤더, 페이로드 및 서명으로 분할합니다. exp 및 iat와 같은 타임스탬프는 읽기 쉬운 날짜로 포맷되며, 클레임 테이블은 모든 필드를 한눈에 보여줍니다. 완전히 브라우저에서 실행됩니다.

JWT 토큰

JWT란 무엇인가요?

JSON 웹 토큰(JWT)은 두 당사자 간의 클레임을 표현하는 간결하고 URL 안전한 방법입니다. 세 개의 base64url 인코딩된 세그먼트가 점으로 연결되어 있습니다: 서명 알고리즘을 명시하는 헤더, 클레임을 담고 있는 페이로드, 그리고 토큰이 서명 키를 보유한 누군가에 의해 발급되었음을 증명하는 서명입니다. JWT는 OAuth 2.0 액세스 토큰, OpenID Connect ID 토큰 및 대부분의 무상태 세션 시스템의 기본 형식입니다. 이 디코더는 토큰을 분할하고 각 세그먼트의 원시 JSON을 보여줍니다 — 서명을 검증하지 않는데, 이는 발급자의 비밀 키 또는 공개 키가 필요하기 때문입니다.

JWT 디코더 사용 방법

1
토큰 붙여넣기
Authorization 헤더, 디버그 로그 또는 URL에서 JWT를 복사하세요. eyJ...eyJ...서명과 같이 세 개의 세그먼트로 구성되어야 합니다.
2
헤더와 페이로드 검토
헤더는 알고리즘(alg)과 토큰 유형(typ)을 보여줍니다. 페이로드는 모든 클레임 — sub, iss, aud, exp, iat 및 모든 사용자 정의 필드를 나열합니다.
3
만료 여부 한눈에 확인
유효성 배너는 토큰이 만료되었는지, 활성 상태인지, 아직 유효하지 않은지(nbf)를 즉시 알려줍니다. 시간 클레임은 UTC 및 상대적 형태로 표시됩니다.
4
개별 섹션 복사
헤더 또는 페이로드 패널의 복사 버튼을 사용하여 디버깅, 공유 또는 다른 도구에 붙여넣기 위한 깨끗한 JSON을 가져옵니다.

JWT 구조

JWT는 점으로 연결된 세 개의 base64url 세그먼트로 구성됩니다:
 
    header.payload.signature
 
헤더  — 서명 알고리즘을 설명하는 JSON
          { "alg": "HS256", "typ": "JWT" }
 
페이로드 — 클레임을 담고 있는 JSON
          { "sub": "1234", "exp": 1700000000 }
 
서명 — 헤더.페이로드에 대한 HMAC 또는 RSA, base64url 인코딩
 
표준 시간 클레임(에포크 이후 초):
  exp  = 만료 시간
  iat  = 발급 시간
  nbf  = 유효 시작 전

헤더와 페이로드는 누구나 읽을 수 있는 일반 JSON입니다 — base64url은 인코딩이지 암호화가 아닙니다. 서명은 토큰을 신뢰할 수 있게 만드는 요소입니다: 발급자가 비밀 키(HS* 알고리즘의 경우) 또는 개인 키(RS*/ES* 알고리즘의 경우)를 사용하여 처음 두 세그먼트에 대해 계산합니다. 토큰을 수신한 서버는 일치하는 비밀 키 또는 공개 키로 서명을 다시 계산하고 일치하지 않는 것은 거부합니다. 그래서 페이로드에 비밀번호와 같은 민감한 데이터를 절대 넣어서는 안 되며, 이 도구는 오직 디코딩만 수행하는 이유입니다 — 검증은 발급자의 키가 필요합니다.

참조: RFC 7519 — JSON 웹 토큰(JWT)

예시

입력	출력
헤더: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } HMAC-SHA256 토큰을 위한 최소한의 헤더입니다.
exp 클레임이 있는 페이로드	{ "sub": "1234", "exp": 1700000000 } exp는 에포크 이후 초입니다 — UTC 기준 2023-11-14.
만료된 토큰	토큰 만료됨 · 만료일 2024-01-01 (3개월 전) exp가 과거일 때 유효성 배너가 빨간색으로 바뀝니다.
형식이 잘못된 토큰(세그먼트가 두 개만 있음)	유효하지 않은 토큰: 3개의 세그먼트를 예상했으나 2개가 발견됨 JWT는 정확히 세 개의 점으로 구분된 base64url 부분을 가져야 합니다.

일반적인 사용 사례

OAuth 액세스 토큰을 디버깅하여 어떤 범위와 대상을 포함하고 있는지 확인합니다.
실패한 요청이 만료된 토큰 때문인지 확인합니다.
OpenID Connect ID 토큰을 검사하여 sub 및 email과 같은 사용자 클레임을 읽습니다.
매직 링크 또는 비밀번호 재설정 토큰을 디코딩하여 서명된 페이로드를 확인합니다.
토큰에 올바른 발급자(iss)와 대상(aud)이 설정되어 있는지 확인합니다.
kid 헤더를 읽어 어떤 서명 키가 사용되었는지 알아냅니다.
세션 버그를 조사할 때 두 개의 토큰을 나란히 비교합니다.
코드를 작성하지 않고 팀원들에게 JWT의 구조를 가르칩니다.

자주 묻는 질문

이 도구는 서명을 검증하나요?

아니요. 서명을 검증하려면 발급자의 비밀키(HMAC 알고리즘의 경우) 또는 공개키(RSA 및 ECDSA의 경우)가 필요합니다. 이 도구는 헤더와 페이로드를 디코딩하여 읽을 수 있도록 합니다. 여기서 디코딩한 모든 토큰은 백엔드가 발급자의 키에 대해 서명을 검증할 때까지 신뢰할 수 없는 것으로 간주하십시오.

실제 JWT를 여기 붙여넣는 것이 안전한가요?

모든 것은 브라우저에서 실행됩니다 — 토큰은 업로드되거나 저장되거나 기록되지 않습니다. 그렇다고 해도, 당신의 손에 있는 액세스 토큰은 비밀번호만큼 강력합니다: 브라우저에 페이지 내용을 읽는 확장 프로그램이 있다면 이론적으로 볼 수 있습니다. 과도한 디버깅을 위해서는 새 개인 창을 사용하거나 오프라인에서 디코딩하세요.

서명이 텍스트 대신 바이트로 표시되는 이유는 무엇인가요?

서명은 원시 이진 블롭입니다 — 일반적으로 HS256의 경우 32바이트, RS256의 경우 256바이트입니다. 토큰에서 base64url로 인코딩되지만 디코딩된 형태는 사람이 읽을 수 없으므로 도구는 왜곡된 문자를 표시하려고 하지 않고 바이트 수를 보고합니다.

exp, iat, nbf의 차이는 무엇인가요?

이들은 RFC 7519의 세 가지 표준 시간 클레임입니다. exp는 만료 시간입니다 — 이 순간 이후로 토큰은 유효하지 않습니다. iat는 발급 시간입니다 — 토큰이 생성된 시간입니다. nbf는 사용 가능 시간입니다 — 토큰을 사용할 수 있는 가장 이른 시간입니다. 세 가지 모두 Unix epoch 이후 초 단위로 측정됩니다.

내 타임스탬프가 너무 이상하게 보입니다 — 잘못된 건가요?

JWT는 밀리초가 아닌 epoch 이후 초를 사용합니다. 이 도구는 값이 10^12 이상인지 확인하여 단위를 자동으로 감지합니다(밀리초로 처리됨). 다른 이름으로 타임스탬프를 저장하는 비표준 클레임이 있는 경우, 날짜 대신 원시 숫자로 표시됩니다.

"not valid base64url"로 디코딩이 실패하는 이유는 무엇인가요?

세그먼트에 base64url 알파벳(A-Z a-z 0-9 - _) 외부의 문자가 포함되어 있거나 패딩이 누락되었습니다. 이메일 클라이언트나 채팅 앱에서 복사-붙여넣기를 하면 공백이나 스마트 따옴표가 조용히 추가될 수 있습니다. 브라우저 개발 도구와 같은 새 소스에서 토큰을 복사해 보세요.

암호화된 JWT(JWE)를 디코딩할 수 있나요?

아니요. 이 도구는 서명된 JWT(JWS)를 디코딩합니다. JWE 토큰은 세 개 대신 다섯 개의 세그먼트를 가지며 페이로드가 단순히 인코딩된 것이 아니라 암호화되어 있습니다 — 읽으려면 수신자의 개인 키가 필요합니다. 암호화된 클레임이 있는 일반 JWS 토큰(예: Auth0의 불투명 토큰)도 읽을 수 있는 JSON으로 디코딩되지 않습니다.

URL 안전 Base64 옵션이 필요한가요?

JWT 세그먼트는 항상 base64url로 인코딩되므로 도구가 자동으로 처리합니다 — 옵션이 필요 없습니다. JWT 외부에서 임의의 base64url 텍스트를 인코딩하거나 디코딩해야 하는 경우, URL 안전 체크박스가 활성화된 별도의 Base64 인코더를 사용하세요.

마지막 업데이트 2026-04-21

ë¡œë”© ì¤‘...

JWT란 무엇인가요?

JWT 디코더 사용 방법

토큰 붙여넣기

Authorization 헤더, 디버그 로그 또는 URL에서 JWT를 복사하세요. eyJ...eyJ...서명과 같이 세 개의 세그먼트로 구성되어야 합니다.

헤더와 페이로드 검토

헤더는 알고리즘(alg)과 토큰 유형(typ)을 보여줍니다. 페이로드는 모든 클레임 — sub, iss, aud, exp, iat 및 모든 사용자 정의 필드를 나열합니다.

만료 여부 한눈에 확인

유효성 배너는 토큰이 만료되었는지, 활성 상태인지, 아직 유효하지 않은지(nbf)를 즉시 알려줍니다. 시간 클레임은 UTC 및 상대적 형태로 표시됩니다.

개별 섹션 복사

헤더 또는 페이로드 패널의 복사 버튼을 사용하여 디버깅, 공유 또는 다른 도구에 붙여넣기 위한 깨끗한 JSON을 가져옵니다.

JWT 구조

JWT는 점으로 연결된 세 개의 base64url 세그먼트로 구성됩니다:
 
    header.payload.signature
 
헤더  — 서명 알고리즘을 설명하는 JSON
          { "alg": "HS256", "typ": "JWT" }
 
페이로드 — 클레임을 담고 있는 JSON
          { "sub": "1234", "exp": 1700000000 }
 
서명 — 헤더.페이로드에 대한 HMAC 또는 RSA, base64url 인코딩
 
표준 시간 클레임(에포크 이후 초):
  exp  = 만료 시간
  iat  = 발급 시간
  nbf  = 유효 시작 전

예시

입력	출력
헤더: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } HMAC-SHA256 토큰을 위한 최소한의 헤더입니다.
exp 클레임이 있는 페이로드	{ "sub": "1234", "exp": 1700000000 } exp는 에포크 이후 초입니다 — UTC 기준 2023-11-14.
만료된 토큰	토큰 만료됨 · 만료일 2024-01-01 (3개월 전) exp가 과거일 때 유효성 배너가 빨간색으로 바뀝니다.
형식이 잘못된 토큰(세그먼트가 두 개만 있음)	유효하지 않은 토큰: 3개의 세그먼트를 예상했으나 2개가 발견됨 JWT는 정확히 세 개의 점으로 구분된 base64url 부분을 가져야 합니다.

일반적인 사용 사례

OAuth 액세스 토큰을 디버깅하여 어떤 범위와 대상을 포함하고 있는지 확인합니다.

실패한 요청이 만료된 토큰 때문인지 확인합니다.

OpenID Connect ID 토큰을 검사하여 sub 및 email과 같은 사용자 클레임을 읽습니다.

매직 링크 또는 비밀번호 재설정 토큰을 디코딩하여 서명된 페이로드를 확인합니다.

토큰에 올바른 발급자(iss)와 대상(aud)이 설정되어 있는지 확인합니다.

kid 헤더를 읽어 어떤 서명 키가 사용되었는지 알아냅니다.

세션 버그를 조사할 때 두 개의 토큰을 나란히 비교합니다.

코드를 작성하지 않고 팀원들에게 JWT의 구조를 가르칩니다.

자주 묻는 질문

이 도구는 서명을 검증하나요?

실제 JWT를 여기 붙여넣는 것이 안전한가요?

서명이 텍스트 대신 바이트로 표시되는 이유는 무엇인가요?

exp, iat, nbf의 차이는 무엇인가요?

내 타임스탬프가 너무 이상하게 보입니다 — 잘못된 건가요?

"not valid base64url"로 디코딩이 실패하는 이유는 무엇인가요?

암호화된 JWT(JWE)를 디코딩할 수 있나요?

URL 안전 Base64 옵션이 필요한가요?

JWT 디코더

JWT란 무엇인가요?

JWT 디코더 사용 방법

JWT 구조

예시

일반적인 사용 사례

관련 도구

자주 묻는 질문

JWT 디코더

JWT란 무엇인가요?

JWT 디코더 사용 방법

JWT 구조

예시

일반적인 사용 사례

관련 도구

자주 묻는 질문