인코딩된 토큰
잘못된 JWT

데이터 없음

서명 검증 (OPTIONAL)

아래에 JWT 서명에 사용된 시크릿을 입력하세요:

시크릿 키

서명 검증은 브라우저에서만 수행되며, 토큰은 외부로 전송되지 않습니다.

디코딩된 헤더
데이터 없음
디코딩된 페이로드
데이터 없음
서명
데이터 없음
JWT란?

JWT(JSON Web Token)는 두 당사자 간에 정보를 안전하게 전송하기 위한 개방형 표준(RFC 7519)입니다. 디지털 서명이 되어 있어 검증과 신뢰가 가능합니다. JWT는 HMAC 알고리즘 또는 RSA/ECDSA를 사용한 공개/개인 키 쌍으로 서명할 수 있습니다.

xxxxx.yyyyy.zzzzz

Header: 알고리즘과 토큰 유형 정보
Payload: 클레임(사용자 정보 및 메타데이터)
Signature: 토큰 무결성 검증용 서명
등록된 클레임 (Registered Claims)
iss

발급자 (Issuer) - 토큰을 발급한 주체

sub

주제 (Subject) - 토큰의 주체 (보통 사용자 ID)

aud

대상자 (Audience) - 토큰을 사용할 수신자

exp

만료 시간 (Expiration) - 토큰 만료 Unix 타임스탬프

nbf

활성화 시간 (Not Before) - 이 시간 전에는 토큰 무효

iat

발급 시간 (Issued At) - 토큰 발급 Unix 타임스탬프

jti

JWT ID - 토큰의 고유 식별자

JWT 사용 사례
  • 인증 (Authentication)

    사용자 로그인 후 JWT를 발급하여 이후 요청에서 신원 확인

  • 정보 교환

    서명을 통해 발신자 확인 및 콘텐츠 변조 여부 검증

  • 싱글 사인온 (SSO)

    여러 서비스에서 하나의 토큰으로 인증 유지

  • API 권한 부여

    마이크로서비스 간 안전한 API 호출 인증

보안 주의사항
  • JWT는 인코딩된 것이지 암호화된 것이 아닙니다. 민감한 정보(비밀번호, 신용카드 등)를 페이로드에 포함하지 마세요.
  • 시크릿 키는 최소 256비트 이상의 강력한 키를 사용하세요.
  • 토큰 만료 시간(exp)을 적절히 설정하고, 가능하면 리프레시 토큰 패턴을 사용하세요.
  • XSS 공격 방지를 위해 토큰을 localStorage 대신 httpOnly 쿠키에 저장하는 것을 권장합니다.
  • 프로덕션 환경에서는 반드시 HTTPS를 사용하여 토큰이 네트워크에서 노출되지 않도록 하세요.
지원 알고리즘

HS256

HMAC + SHA-256. 가장 일반적으로 사용되는 대칭키 알고리즘

HS384

HMAC + SHA-384. HS256보다 더 긴 해시로 보안 강화

HS512

HMAC + SHA-512. 가장 긴 해시를 사용하는 대칭키 알고리즘

이 도구는 HMAC 기반 대칭키 알고리즘(HS*)만 지원합니다. RSA/ECDSA 기반 비대칭키 알고리즘은 별도의 공개키/개인키 쌍이 필요합니다.