
개발 도구
JWT 토큰의 구조를 한눈에 파악하고, 클레임을 추출하며, 서명을 검증하세요. 모든 처리는 브라우저에서만 이루어집니다.
JWT는 정보를 안전하게 전송하기 위해 설계된 인코딩된 JSON 문자열입니다. 헤더(토큰 타입과 알고리즘), 페이로드(클레임이라 불리는 사용자 정보), 서명(토큰 위변조 확인용) 세 부분으로 나뉘며, 점(.)으로 구분됩니다. 인증 시스템에서 로그인 후 발급되는 토큰이나 API 요청 시 사용되는 액세스 토큰이 주로 JWT 형식입니다.
토큰이 암호화된 것은 아니지만, base64로 인코딩되어 있어 그대로는 읽을 수 없습니다. JWT를 디코딩하면 토큰에 담긴 정보(발급자, 만료 시간, 사용자 ID 등)를 눈으로 확인할 수 있습니다. 개발 중 토큰이 올바른 정보를 담고 있는지 검증하거나, 토큰이 만료되었는지 확인할 때 유용합니다.
네, 이 도구는 100% 브라우저에서만 작동합니다. 입력한 JWT 토큰이나 서명 키는 절대 서버로 전송되지 않으며, 기기를 떠나지 않습니다. 모든 파싱과 검증이 여러분의 컴퓨터에서 진행됩니다. 개발 중이라도 프로덕션 토큰의 비밀 키는 절대 입력하지 않는 것을 권장합니다.
네, 완전히 안전합니다. 이 도구는 모든 처리를 여러분의 브라우저에서만 수행합니다. 입력한 토큰이나 비밀 키는 절대 외부로 전송되지 않으며, 저장되지도 않습니다. 개발 환경에서 테스트할 때 마음껏 사용해도 됩니다.
HMAC(HS256/384/512) 검증에는 서명 생성에 사용된 비밀 키가 필요합니다. RSA/ECDSA(RS256/ES256) 검증에는 공개 키(PEM 형식)가 필요합니다. 공개 키는 발급자의 인증 서버에서 제공하는 JWKS(JSON Web Key Set) URL에서 다운로드할 수 있습니다.
현재 HS256, HS384, HS512(HMAC), RS256(RSA), ES256(ECDSA)을 지원합니다. EdDSA(Ed25519)나 다른 고급 알고리즘은 아직 지원하지 않습니다.
만료된 토큰은 빨간색 배너와 함께 '⛔ 만료됨' 상태로 표시됩니다. 만료 시간(exp 클레임)이 현재 시간보다 이전이면 만료된 것입니다. 서명 검증은 진행할 수 있지만, 실제 서버에서는 만료된 토큰을 거부할 것입니다.
클레임은 JWT 페이로드에 담긴 정보 조각입니다. 표준 클레임은 iss(발급자), sub(주체), exp(만료), iat(발급 시간) 같이 JWT 명세에서 정의한 것들입니다. 그 외 커스텀 클레임은 각 애플리케이션이 필요에 따라 자유롭게 추가한 정보입니다.