JWT 디코더

JWT(JSON Web Token)를 디코딩하여 헤더와 페이로드 내용을 확인하세요. 토큰 만료 시간, 발급자 등 클레임 정보를 쉽게 확인할 수 있습니다.

JWT 토큰 입력

주요 기능

헤더 분석

알고리즘, 토큰 타입 등 헤더 정보 확인

페이로드 확인

사용자 정보, 권한 등 클레임 데이터 확인

만료 시간 확인

토큰 유효 기간 및 만료 여부 확인

보안

모든 처리가 브라우저에서 진행, 서버 전송 없음

안내사항

JWT 서명 검증은 수행되지 않습니다 (시크릿 키 필요).
민감한 정보가 포함된 토큰은 주의해서 다루세요.
모든 처리는 브라우저에서만 진행됩니다.

자주 묻는 질문

JWT(JSON Web Token)는 당사자 간에 정보를 안전하게 전송하기 위한 개방형 표준(RFC 7519)입니다. JSON 객체로 인코딩된 정보를 포함하며 디지털 서명으로 검증할 수 있습니다. 주로 인증(Authentication)과 정보 교환에 사용됩니다.

JWT는 점(.)으로 구분된 헤더(Header), 페이로드(Payload), 서명(Signature) 세 부분으로 구성됩니다. 헤더는 토큰 타입과 서명 알고리즘, 페이로드는 클레임(사용자 정보 등), 서명은 위변조 방지를 위한 검증값입니다. 각 부분은 Base64URL로 인코딩되어 있습니다.

JWT 서명은 헤더와 페이로드를 시크릿 키(HMAC 방식) 또는 개인 키(RSA/ECDSA 방식)로 해시하여 생성됩니다. 수신측은 동일한 키로 서명을 재생성해 비교함으로써 토큰의 무결성을 확인합니다. 이 디코더는 시크릿 키가 없어 서명 검증은 수행하지 않고 내용만 확인할 수 있습니다.

JWT 페이로드는 Base64로 인코딩되어 있을 뿐 암호화되지 않으므로 민감한 정보(비밀번호, 개인정보 등)를 포함해서는 안 됩니다. 토큰 만료 시간(exp)을 반드시 설정하고, HTTPS를 통해서만 전송해야 합니다. 시크릿 키는 충분히 복잡하게 설정하고 안전하게 보관해야 합니다.

JWT 인증의 원리와 웹 개발에서의 역할

JWT 기반 인증 흐름

사용자가 로그인하면 서버는 사용자 정보를 담은 JWT를 생성하여 클라이언트에 전달합니다. 이후 클라이언트는 API 요청 시 Authorization 헤더에 Bearer 토큰 형식으로 JWT를 포함시킵니다. 서버는 시크릿 키로 서명을 검증하여 토큰의 유효성을 확인하고, 별도의 세션 저장소 없이 상태를 유지할 수 있습니다.

세션 인증과 JWT 인증의 차이

전통적인 세션 인증은 서버에 세션 정보를 저장하고 클라이언트에는 세션 ID만 쿠키로 전달합니다. JWT는 토큰 자체에 모든 정보를 담아 서버가 상태를 저장하지 않는 무상태(Stateless) 방식으로 동작합니다. JWT 방식은 마이크로서비스, 모바일 앱, SPA에서 특히 유리하며 수평 확장이 용이합니다.

실무에서의 JWT 활용

Access Token과 Refresh Token을 함께 사용하는 이중 토큰 전략이 널리 쓰입니다. Access Token은 짧은 유효 기간(15분~1시간)으로 설정하고, Refresh Token으로 새로운 Access Token을 발급받습니다. OAuth 2.0, OpenID Connect 등 현대적인 인증 프로토콜도 JWT를 기반으로 구현되는 경우가 많습니다.