2026-02 기준

JWT 디코더

JWT 토큰을 입력하면 Header·Payload를 디코딩하고 만료 시간을 확인합니다. 서버 전송 없이 브라우저에서만 처리.

JWT 디코더 계산

JWT는 브라우저에서만 처리되며 서버로 전송되지 않습니다.

JWT 구조

Header — 알고리즘 및 토큰 타입 (Base64url)

Payload — Claims (사용자 데이터) (Base64url)

Signature — Header + Payload 서명 (검증 필요)

친구에게 공유하기

사용 방법

  1. 1 디코딩할 JWT 토큰 문자열을 입력란에 붙여넣습니다.
  2. 2 Payload 영역에서 추출된 JSON 데이터를 확인합니다.
  3. 3 만료 시간(exp) 및 발급 정보를 해석된 텍스트로 조회합니다.

JWT(JSON Web Token)란?

JWT는 웹 표준(RFC 7519)으로, 두 개체 사이에서 JSON 객체를 사용해 정보를 안전하게 전송하는 토큰 방식입니다. 디지털 서명이 포함되어 위변조 여부 확인이 가능하며, 주로 사용자 인증 및 API 정보 교환에 사용됩니다.

JWT 구조: Header.Payload.Signature

Header: 토큰 유형(typ)과 해싱 알고리즘(alg) 정보 포함.
Payload: 사용자 정보와 클레임(Claim) 포함. Base64 인코딩 (암호화 아님).
Signature: 헤더+페이로드+비밀키로 생성한 서명. 변조 여부 검증에 사용.

주요 등록 클레임(Registered Claims)

클레임설명
iss (Issuer)토큰 발급자
sub (Subject)토큰 제목(주체)
aud (Audience)토큰 대상자
exp (Expiration)토큰 만료 시간 (NumericDate)
iat (Issued At)토큰 발급 시간
jti (JWT ID)JWT 고유 식별자, 일회성 토큰에 사용

JWT vs 세션 토큰 비교

구분JWT세션 토큰
정보 저장 위치클라이언트서버
상태Stateless (서버 저장 불필요)Stateful (서버 세션 유지)
확장성수평적 확장 용이세션 클러스터링 필요
주 사용처API 인증, 마이크로서비스, 모바일전통적인 웹 로그인

JWT 보안 주의사항

짧은 만료 시간(exp) 설정: 탈취 대비, 리프레시 토큰과 함께 사용 권장.
민감 정보 포함 금지: 페이로드는 Base64 인코딩만 된 것으로 누구나 디코딩 가능.
안전한 알고리즘 사용: none 알고리즘 허용 금지, HS256·RS256 강제 검증.
HTTPS 필수: 토큰 전송 시 반드시 암호화 통신 사용.
비밀 키 보안: 서명 키는 절대 외부 노출 금지.

자주 묻는 질문

Q JWT의 구조는 어떻게 되나요?

JWT는 Header(알고리즘·타입), Payload(클레임), Signature(서명) 세 부분을 Base64URL로 인코딩하여 점(.)으로 연결한 문자열입니다.

Q 서명 검증 없이 디코딩만 해도 되나요?

Payload 내용 확인용으로는 가능하지만, 실제 인증에는 반드시 서명을 검증해야 합니다. 서명 없이 신뢰하면 보안 취약점이 발생합니다.

Q exp 클레임이란 무엇인가요?

exp(Expiration Time)는 토큰 만료 시각을 Unix 타임스탬프로 나타낸 표준 클레임입니다. 이 시각이 지난 토큰은 유효하지 않습니다.

Q HS256과 RS256의 차이는?

HS256은 동일한 비밀키로 서명·검증하는 대칭 알고리즘이고, RS256은 개인키로 서명하고 공개키로 검증하는 비대칭 알고리즘입니다.

JWT 공식 사이트

JWT 토큰 디코더 및 라이브러리 목록

정규식 테스터
타임스탬프 변환기
진법 변환기
JSON 포맷터
Base64 인코더/디코더
색상 변환기