JWT 디코더
JWT 헤더·페이로드 확인
⚠ 서명은 검증하지 않습니다. 토큰은 브라우저에서만 디코드되며 서버로 전송되지 않습니다.
🔒 이 도구는 입력한 데이터를 서버로 전송하지 않습니다. 모든 변환·계산은 여러분의 브라우저 안에서만 실행되므로 민감한 데이터도 안전하게 처리할 수 있습니다.
JWT 디코더란?
JWT(JSON Web Token)는 인증·인가에 널리 쓰이는 토큰 형식으로, 헤더·페이로드·서명 세 부분이 점(.)으로 이어져 있습니다. 헤더와 페이로드는 Base64URL로 인코딩된 JSON일 뿐이라 누구나 내용을 읽을 수 있습니다. 이 도구는 토큰을 붙여넣으면 헤더·페이로드를 사람이 읽는 JSON으로 펼치고, 발급·만료 시각(iat, exp)을 날짜로 변환해 토큰이 유효한지·어떤 클레임이 담겼는지 즉시 확인하게 해 줍니다.
사용 방법
- 입력창에 JWT 문자열 전체를 붙여넣습니다.
- 헤더와 페이로드가 각각 JSON으로 디코딩되어 표시됩니다.
- 만료 시각(exp)이 사람이 읽는 날짜로 함께 표시되어 유효 여부를 판단합니다.
실무 활용 예시
- 로그인 디버깅 — 인증이 계속 실패할 때 토큰의 만료 시각·발급자·대상(aud)을 확인합니다.
- 권한 점검 — 페이로드의 role·scope 클레임이 기대한 값으로 담겼는지 검증합니다.
- 연동 확인 — 외부 IdP가 발급한 토큰의 클레임 구조를 파악해 매핑 로직을 설계합니다.
팁과 주의점
- 이 도구는 서명을 검증하지 않습니다. 디코딩은 위·변조 여부를 판단하지 못하므로, 실제 신뢰 판단은 서버에서 비밀키로 서명을 검증해야 합니다.
- 페이로드는 암호화가 아니라 단순 인코딩이므로 비밀번호 등 민감정보를 JWT에 넣지 마세요.
- 토큰은 브라우저에서만 디코딩되며 어떤 서버로도 전송되지 않지만, 유효한 실서비스 토큰은 그 자체로 접근 권한이니 취급에 주의하세요.
자주 묻는 질문
이 도구가 토큰 서명도 검증하나요?
아니요. 헤더·페이로드를 디코딩해 내용만 보여 줄 뿐 서명은 검증하지 않습니다. 서명 검증은 비밀키가 있는 서버에서 수행해야 합니다.
토큰이 만료됐는지 알 수 있나요?
네. 페이로드의 exp(만료) 값을 사람이 읽는 날짜로 변환해 보여 주므로, 현재 시각과 비교해 만료 여부를 판단할 수 있습니다.
내 토큰을 붙여넣어도 안전한가요?
디코딩은 브라우저에서만 이뤄지고 토큰은 서버로 전송되지 않습니다. 다만 유효한 실서비스 토큰은 접근 권한 그 자체이므로, 공용 PC 등에서는 사용 후 화면을 지우는 것이 좋습니다.
JWT에 비밀번호를 담아도 되나요?
안 됩니다. 페이로드는 암호화가 아니라 누구나 디코딩할 수 있는 인코딩이므로, 비밀번호·주민번호 같은 민감정보를 넣으면 안 됩니다.