JWT 디코더
JWT 디코더는 JSON Web Token을 색상 구분된 Header, Payload, Signature 섹션으로 실시간 파싱합니다. exp/iat/nbf 타임스탬프를 사람이 읽을 수 있는 현지 시간으로 자동 변환하고 라이브 카운트다운을 표시하며, RFC 7519 설명이 포함된 클레임 테이블, alg:none 공격 보안 경고, HMAC 서명 검증 기능을 제공합니다. 100% 클라이언트 사이드로 토큰이 브라우저를 떠나지 않습니다.
제안이 있으신가요?
새로운 도구를 요청하거나 개선 사항을 제안해 주세요 — Slack 커뮤니티에 참여하세요!
JWT 디코더란?
JWT 디코더는 JSON Web Token(JWT)을 Header, Payload, Signature 세 구성 요소로 파싱하는 도구입니다. JWT는 당사자 간에 정보를 JSON 객체로 안전하게 전송하기 위한 개방형 표준(RFC 7519)입니다. 이 도구는 Base64URL 인코딩된 헤더와 페이로드를 디코딩하고, 모든 클레임을 읽기 쉬운 형식으로 표시하며, Unix 타임스탬프를 사람이 읽을 수 있는 날짜로 자동 변환하고 라이브 카운트다운을 제공합니다. alg:none 공격 같은 보안 문제를 분석하고 HMAC 서명을 검증합니다 — 모두 Web Crypto API를 사용하여 브라우저에서 처리됩니다.
JWT 디코더 사용 방법
- JWT 토큰을 입력 필드에 붙여넣으세요 — 토큰이 색상 구분된 섹션으로 즉시 디코딩됩니다
- Header(빨간색)에서 알고리즘과 타입을, Payload(보라색)에서 모든 클레임을 확인하세요
- 클레임 테이블에서 사람이 읽을 수 있는 타임스탬프와 만료 상태를 라이브 카운트다운으로 확인하세요
- 보안 경고에서 누락된 exp나 alg:none 같은 취약점을 확인하세요
- 검증 탭으로 전환하여 비밀 키로 HMAC 서명 유효성을 확인하세요
- 빌드 탭에서 헤더와 페이로드 JSON을 편집하여 새로운 JWT 토큰을 생성하세요
자주 묻는 질문
JWT 토큰을 여기에 붙여넣어도 안전한가요?
네. 모든 디코딩과 검증은 JavaScript를 사용하여 브라우저에서 완전히 처리됩니다. 토큰은 어떤 서버로도 전송되지 않습니다. 브라우저 DevTools의 Network 탭에서 직접 확인할 수 있습니다.
서명 검증에 어떤 JWT 알고리즘이 지원되나요?
클라이언트 측 HMAC 검증은 Web Crypto API를 사용하여 HS256, HS384, HS512를 지원합니다. RSA(RS256/RS384/RS512)와 ECDSA(ES256/ES384/ES512) 알고리즘은 디코딩은 되지만 공개 키를 이용한 서버 측 검증이 필요합니다.
내 토큰이 왜 만료된 것으로 표시되나요?
exp(만료) 클레임에는 Unix 타임스탬프가 포함됩니다. 현재 시간이 이 타임스탬프를 초과하면 토큰이 만료된 것입니다. 라이브 카운트다운은 만료된 지 정확히 얼마나 되었는지 보여줍니다. 만료된 토큰은 서비스에서 수락되어서는 안 됩니다.
alg:none 취약점이란 무엇인가요?
alg:none 공격은 알고리즘이 "none"으로 설정된 토큰을 수락하는 JWT 라이브러리를 악용하여 서명 검증을 효과적으로 우회합니다. 우리 도구는 이를 심각한 보안 경고로 표시합니다. 프로덕션 시스템은 항상 alg:none 토큰을 거부해야 합니다.
이 도구로 JWT 토큰을 생성할 수 있나요?
네. 빌드 탭에서 헤더와 페이로드 JSON을 편집하고, HMAC 알고리즘(HS256/HS384/HS512)을 선택하고, 비밀 키를 입력하여 서명된 JWT 토큰을 생성할 수 있습니다. 서명은 Web Crypto API를 사용하여 브라우저에서 완전히 수행됩니다.