JWT 디코더
JSON Web Token을 붙여넣어 헤더와 페이로드를 확인하세요. 디코더는 브라우저에서 실행되며, 토큰은 기기에서 나가지 않습니다.
API 디버깅, OAuth/OpenID 발급 토큰 확인, 액세스 토큰의 claim 확인에 유용합니다.
헤더
Decoded header will appear here.
페이로드
Decoded payload will appear here.
클레임 요약
디코딩 전용 — 서명 검증 없음
이 도구는 토큰의 헤더와 페이로드만 디코딩합니다. 서명은 검증하지 않습니다. 검증에는 시크릿이나 공개키가 필요한데, 브라우저에서 하는 것은 의미가 없습니다 — 여기에 붙여넣은 것은 이미 사용자에게 노출되어 있습니다. 결과는 참고용으로만 사용하세요.
JWT란?
JSON Web Token (RFC 7519) 은 점으로 구분된 세 개의 Base64url 섹션으로 구성된 컴팩트한 문자열입니다: header.payload.signature. 헤더는 서명 알고리즘을 나타내고, 페이로드는 claim을 담으며, 서명은 서버가 토큰이 변조되지 않았음을 입증할 수 있게 해줍니다.
예시
A minimal HS256 token with a single sub claim:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIn0.dozjgNryP4J3jVmNHl0w5N_XgL0n3I9PlFUP0THsR8U
자주 묻는 질문
이 도구가 서명을 검증하나요?
아니요. 헤더와 페이로드만 디코딩합니다. 서명 검증에는 시크릿이나 공개키가 필요하며, 브라우저가 아니라 신뢰할 수 있는 서버에서 수행해야 합니다.
토큰이 서버로 전송되나요?
아니요. 디코더는 브라우저에서 모두 실행됩니다. 토큰은 로컬에서 파싱되며 기기에서 나가지 않습니다.
exp, iat, nbf는 무엇을 의미하나요?
표준 등록 claim입니다: iat는 발급 시각, nbf는 「이전에는 유효하지 않음」 시각, exp는 만료 시각입니다. 셋 다 초 단위 Unix 타임스탬프입니다.
Base64 문자가 일반 Base64와 다른 이유는?
JWT는 Base64url을 사용하여 +를 -로, /를 _로 바꾸고 = 패딩을 제거합니다. 디코더는 이를 자동으로 처리합니다.