JSON Web Token 디코드

브라우저에서 실행되는 무료 JWT 디코더. JSON Web Token을 붙여넣으면 세 base64url 세그먼트(헤더, 페이로드, 서명)로 분할하여 각각 디코드하고 JSON을 렌더링합니다. 출력 위에는 "잘 구성됨", 헤더의 알고리즘, 유효 기간 상태 알약이 표시됩니다 — 현재 유효하면 녹색, nbf 이전이면 노란색, exp 이후면 빨간색. 아래에는 등록된 클레임(iss, sub, aud, exp, nbf, iat, jti)이 RFC 7519 의미와 함께 나열됩니다; iat/exp/nbf는 ISO 타임스탬프로도 형식화됩니다.

사용 방법

JWT 붙여넣기

점으로 구분된 세 base64url 인코딩 세그먼트.

헤더 + 페이로드 읽기

디코드된 JSON이 오른쪽에 표시.

상태 알약 확인

alg, 유효 기간, exp/nbf 카운트다운.

등록 클레임 검사

각 잘 알려진 클레임이 인라인으로 설명됨.

서명 검증 없이 JWT 헤더, 페이로드, 만료 및 등록 클레임 검사

JWT 붙여넣기 (점으로 구분된 세 base64url 세그먼트)

헤더 헤더

페이로드 페이로드

참고: 이 도구는 JWT를 디코드만 합니다 — 서명을 검증하지 않습니다. 누구나 임의 내용의 JWT를 만들 수 있습니다. 토큰이 주장하는 내용을 검사하는 용도이며 신뢰 용도가 아닙니다. 실제 검증은 서버 측 비밀 또는 발행자의 JWKS가 필요합니다.

특징

세 세그먼트 파싱 유효성 알약 등록 클레임 힌트 사람이 읽을 수 있는 타임스탬프 잘못된 입력 친화적 범위에 솔직

일반적인 사용 사례

curl 응답의 Authorization Bearer 토큰 검사.
백엔드의 "exp expired" 401 디버깅.
신원 공급자가 발행한 토큰의 audience 클레임 조회.
iat 타임스탬프 확인으로 세션 생성 시점 찾기.

왜 이것을 사용

대부분의 브라우저 JWT 디코더는 서명 검증을 가장한 verify 필드를 표시하지만 — 그러려면 서버 비밀이 필요합니다. 우리는 비밀을 받지 않고 가장하지도 않습니다. 도구는 디코드 전용임을 명확히 하고 잘못된 보안 감각 없이 유효 기간을 표시합니다.

자주 묻는 질문

서명을 검증하나요?

아니요. 검증은 서버 비밀(HS 알고리즘) 또는 발행자의 공개 키(RS/ES/EdDSA)가 필요합니다. 둘 다 서버 측 우려 — 비밀을 제3자 도구에 절대 입력하지 마세요.

브라우저에서 JWT 디코드가 안전한가요?

네 — 디코드는 단지 base64url + JSON.parse입니다. 도구는 토큰을 어디로도 보내지 않습니다. 디코드 ≠ 검증임을 기억하세요.

내 JWT에 추가 점이 있다면?

표준 JWT는 정확히 세 세그먼트. JWE(암호화)는 다섯 세그먼트이며 비슷하게 보이지만; 이 도구는 JWE 복호화를 지원하지 않으므로(수신자 키 필요) "Invalid JWT"를 표시합니다.

업스트림에서 만료된 토큰이 녹색으로 표시되는 이유?

알약은 토큰의 exp 클레임을 브라우저 시계와 비교. 시계가 잘못되면 알약도 잘못됩니다. 아래의 실제 exp 값 확인.

등록되지 않은 클레임?

모든 사용자 정의 클레임(role, scope, tenant 등)은 페이로드 패널에 나타납니다. 7개 RFC 7519 등록 클레임만 설명 블록을 받습니다.

모바일?

네. 붙여넣기, 읽기, 복사.

💡 이 도구를 개선해 드릴까요?

무료로 가능합니다! 아이디어를 간단히 보내주세요. 자세히 논의하고 싶으시면 이메일을 남겨주시면 연락드리겠습니다. 익명으로도 가능합니다.

이 도구를 어떻게 평가하시겠습니까?

평가해 주셔서 감사합니다!

평가 변경

댓글을 남기시겠습니까?

더 공유하고 싶으신가요? 댓글을 남겨주세요!

감사합니다! 검토 후 댓글이 표시됩니다.

누구를 위한 도구인가요?

💻 개발자 & IT 전문가

게시일 22 5월 2026