JWT는 암호화된 것인가요?

아니요, JWT는 Base64로 인코딩된 것이지 암호화된 것이 아닙니다. 누구나 디코딩할 수 있으므로, 비밀번호, 신용카드 번호 등 민감한 정보를 페이로드에 포함하면 안 됩니다.

HS256과 HS512의 차이는 무엇인가요?

두 알고리즘 모두 HMAC 기반 대칭키 알고리즘이지만, HS256은 SHA-256, HS512는 SHA-512 해시를 사용합니다. HS512가 더 긴 해시를 생성하여 보안이 강하지만, 대부분의 경우 HS256이면 충분합니다.

토큰이 만료되었다고 표시되면 어떻게 하나요?

JWT의 exp(만료 시간) 클레임이 현재 시간보다 이전이면 만료된 것입니다. 서버에서 새 토큰을 발급받거나, 리프레시 토큰을 사용하여 갱신해야 합니다.

이 도구에서 입력한 JWT가 외부로 전송되나요?

아니요, 모든 디코딩과 서명 검증은 브라우저의 Web Crypto API를 사용하여 로컬에서 처리됩니다. 토큰 데이터가 서버나 외부로 전송되지 않습니다.

RSA나 ECDSA 알고리즘은 지원하나요?

현재 HMAC 기반 대칭키 알고리즘(HS256, HS384, HS512)만 지원합니다. RS256, ES256 등 비대칭키 알고리즘은 공개키/개인키 쌍이 필요하여 별도의 도구가 필요합니다.

JWT 디버거 - JWT 토큰 디코딩 검증 생성기 | 무료 온라인 도구

인코딩된 토큰

잘못된 JWT

데이터 없음

서명 검증 (OPTIONAL)

아래에 JWT 서명에 사용된 시크릿을 입력하세요:

시크릿 키

인코딩 형식

서명 검증은 브라우저에서만 수행되며, 토큰은 외부로 전송되지 않습니다.

디코딩된 헤더

데이터 없음

디코딩된 페이로드

데이터 없음

서명

데이터 없음

JWT란?

JWT(JSON Web Token)는 두 당사자 간에 정보를 안전하게 전송하기 위한 개방형 표준(RFC 7519)입니다. 디지털 서명이 되어 있어 검증과 신뢰가 가능합니다. JWT는 HMAC 알고리즘 또는 RSA/ECDSA를 사용한 공개/개인 키 쌍으로 서명할 수 있습니다.

xxxxx.yyyyy.zzzzz

Header: 알고리즘과 토큰 유형 정보

Payload: 클레임(사용자 정보 및 메타데이터)

Signature: 토큰 무결성 검증용 서명

등록된 클레임 (Registered Claims)

iss

발급자 (Issuer) - 토큰을 발급한 주체

sub

주제 (Subject) - 토큰의 주체 (보통 사용자 ID)

aud

대상자 (Audience) - 토큰을 사용할 수신자

exp

만료 시간 (Expiration) - 토큰 만료 Unix 타임스탬프

nbf

활성화 시간 (Not Before) - 이 시간 전에는 토큰 무효

iat

발급 시간 (Issued At) - 토큰 발급 Unix 타임스탬프

jti

JWT ID - 토큰의 고유 식별자

JWT 사용 사례

인증 (Authentication)
사용자 로그인 후 JWT를 발급하여 이후 요청에서 신원 확인
정보 교환
서명을 통해 발신자 확인 및 콘텐츠 변조 여부 검증
싱글 사인온 (SSO)
여러 서비스에서 하나의 토큰으로 인증 유지
API 권한 부여
마이크로서비스 간 안전한 API 호출 인증

보안 주의사항

JWT는 인코딩된 것이지 암호화된 것이 아닙니다. 민감한 정보(비밀번호, 신용카드 등)를 페이로드에 포함하지 마세요.
시크릿 키는 최소 256비트 이상의 강력한 키를 사용하세요.
토큰 만료 시간(exp)을 적절히 설정하고, 가능하면 리프레시 토큰 패턴을 사용하세요.
XSS 공격 방지를 위해 토큰을 localStorage 대신 httpOnly 쿠키에 저장하는 것을 권장합니다.
프로덕션 환경에서는 반드시 HTTPS를 사용하여 토큰이 네트워크에서 노출되지 않도록 하세요.

지원 알고리즘

HS256

HMAC + SHA-256. 가장 일반적으로 사용되는 대칭키 알고리즘

HS384

HMAC + SHA-384. HS256보다 더 긴 해시로 보안 강화

HS512

HMAC + SHA-512. 가장 긴 해시를 사용하는 대칭키 알고리즘

이 도구는 HMAC 기반 대칭키 알고리즘(HS*)만 지원합니다. RSA/ECDSA 기반 비대칭키 알고리즘은 별도의 공개키/개인키 쌍이 필요합니다.

JWT 디버거란?

JWT 디버거는 JSON Web Token을 디코딩하여 헤더, 페이로드, 서명을 분석하고, 새로운 JWT 토큰을 생성할 수 있는 도구입니다. 토큰의 클레임 정보(발급자, 만료 시간, 사용자 정보 등)를 시각적으로 확인하고 HMAC 알고리즘(HS256/HS384/HS512)을 사용한 서명 검증도 가능합니다. 모든 처리는 브라우저에서 수행되어 토큰이 외부로 유출되지 않습니다.

JWT 토큰 디코딩으로 헤더/페이로드/서명 분석
HS256, HS384, HS512 알고리즘을 사용한 서명 검증
커스텀 페이로드로 JWT 토큰 생성(인코더)
클레임 정보(iss, sub, exp, iat 등) 시각적 확인
토큰 만료 여부 자동 감지 및 표시
브라우저 내 처리로 토큰 보안 유지

사용 방법

1
디코더/인코더 선택
기존 JWT를 분석하려면 '디코더' 탭, 새 JWT를 만들려면 '인코더' 탭을 선택합니다.
2
토큰 입력 (디코더)
JWT 토큰 문자열을 붙여넣으면 헤더, 페이로드가 자동으로 디코딩되어 표시됩니다.
3
서명 검증
시크릿 키를 입력하고 검증 버튼을 클릭하면 서명의 유효성을 확인할 수 있습니다.
4
토큰 생성 (인코더)
알고리즘과 시크릿 키를 설정하고, 헤더와 페이로드 JSON을 입력하면 JWT 토큰이 생성됩니다.

자주 묻는 질문

활용 팁

API 디버깅 시 Authorization 헤더에서 Bearer 다음의 토큰을 복사하여 분석하세요
토큰의 exp 클레임을 확인하여 만료 시간이 적절히 설정되었는지 검증하세요
시크릿 키는 최소 256비트(32바이트) 이상의 강력한 키를 사용하세요
프로덕션 토큰을 온라인 디버거에 입력하지 마세요. 이 도구처럼 브라우저 전용 도구를 사용하세요
타임스탬프 갱신 기능으로 인코더에서 iat, exp를 현재 시간 기준으로 빠르게 업데이트하세요