JWT JWT 디코더
JWT 헤더와 페이로드를 기준으로 빠르게 점검합니다.
인코딩된 토큰
디코드 결과
JWT 디버깅에서 먼저 볼 것
JWT 디코더는 토큰 내용을 빠르게 확인하는 도구입니다. 디코드는 신뢰 검증이 아니므로 signature, issuer, audience, expiry는 서버 쪽 검증 절차에서 확인해야 합니다.
Header
typ, alg, 때로는 issuer가 사용한 key를 가리키는 kid 같은 토큰 메타데이터를 보여줍니다.
Payload
sub, iss, aud, exp, iat, roles, tenant ID, application-specific authorization data 같은 claim을 담습니다.
Signature
서버가 기대한 비밀 키 또는 공개 키로 검증할 때 토큰 변조 여부를 확인하는 데 사용됩니다.
Expiry
exp claim은 인증 디버깅에서 가장 빠른 단서가 될 때가 많습니다. 형식이 올바른 토큰도 유효 기간을 벗어나면 사용할 수 없습니다.
자주 묻는 질문
JWT는 암호화되어 있나요?
대부분은 아닙니다. 표준 JWT는 암호화가 아니라 인코딩된 형식이므로 토큰을 가진 사람은 헤더와 페이로드를 볼 수 있습니다. signature는 무결성을 보호합니다.
JWT를 디코드하면 신뢰할 수 있다는 뜻인가요?
아니요. 디코드는 토큰 내용을 보여줄 뿐입니다. 신뢰하려면 기대한 비밀 키 또는 공개 키로 signature를 검증하고 issuer, audience, expiry, 애플리케이션 규칙을 확인해야 합니다.
토큰이 만료되면 어떻게 되나요?
exp claim이 과거라면 서버는 토큰을 거부해야 합니다. 클라이언트는 다시 인증하거나 올바른 refresh 흐름으로 새 access token을 요청해야 합니다.
운영 토큰을 디코더에 붙여 넣어도 되나요?
실제 토큰은 인증 정보처럼 다루세요. 가능하면 짧게 살아 있는 테스트 토큰을 사용하고, 통제하지 않는 도구에 민감한 운영 access token을 붙여 넣지 마세요.