JWT 디코딩
JSON Web Token을 브라우저에서 로컬로 디코딩해 헤더와 페이로드를 읽기 쉬운 JSON으로 표시합니다. 업로드는 전혀 없습니다.
기기에서 로컬로 처리 중 ...
0%
파일이 기기를 떠난 적이 없습니다
제 파일이 업로드되나요?
아니요. 모든 처리가 브라우저에서 이루어지며, 파일이 기기를 떠나지 않습니다. 이것을 검증하는 방법
JSON Web Token을 브라우저에서 로컬로 디코딩해 헤더와 페이로드를 읽기 쉬운 JSON으로 표시합니다. 업로드는 전혀 없습니다.
기기에서 로컬로 처리 중 ...
0%
파일이 기기를 떠난 적이 없습니다
아니요. 모든 처리가 브라우저에서 이루어지며, 파일이 기기를 떠나지 않습니다. 이것을 검증하는 방법
JSON Web Token (JWT, RFC 7519) 은 점으로 구분된 세 부분, 헤더, 페이로드, 서명으로 이루어진 간결한 토큰입니다. 헤더와 페이로드는 단지 Base64URL로 인코딩된 JSON (RFC 7515) 으로, 비밀이 아니라 전송하기 안전한 표기일 뿐입니다. 이 도구는 각 부분을 나누고 헤더와 페이로드를 다시 디코딩한 뒤, 담긴 JSON을 깔끔하게 들여쓰기해 보여 줍니다. 어떤 알고리즘이 선언되었는지, 토큰이 어떤 정보 (클레임) 를 담고 있는지 한눈에 알 수 있습니다.
솔직히 말씀드립니다. 이 도구는 디코딩만 할 뿐 서명을 검증하지 않습니다. 진짜 검증에는 발급자의 비밀 키나 공개 키가 필요하지만, 이 도구는 의도적으로 절대 요구하지 않습니다. 따라서 디코딩된 토큰이 곧 신뢰할 수 있는 토큰인 것은 아니며, 내용은 변조되었을 수 있습니다. 이 화면은 이해와 디버깅 (어떤 클레임인지, exp는 언제 만료되는지, iss는 누구인지) 에 사용하고, 진위의 증거로는 절대 사용하지 마세요.
모든 처리는 순수 JavaScript로 브라우저에서 완전히 로컬로 이루어집니다. 토큰은 업로드되거나 저장되지 않으며, 외부 라이브러리를 CDN에서 불러오지도 않습니다. 이는 토큰에서 특히 중요합니다. 액세스 토큰이나 ID 토큰은 남의 온라인 양식에 넣을 것이 아니기 때문입니다. 입력이 유효한 JWT가 아니면, 이 도구는 틀린 결과를 지어내지 않고 그 사실을 솔직히 알려 줍니다.
| 입력 형식 | 텍스트 입력 |
|---|---|
| 출력 형식 | JSON |
| 일괄 처리 | 미지원 |
| 처리 방식 | 브라우저에서 로컬 처리 (JavaScript) |
| 파일 업로드 | 없음 |
제한: 서명 검증이 없는 순수 디코딩입니다. 이 도구는 토큰이 진짜인지 변조되지 않았는지 확인하지 않습니다. 그러려면 발급자의 키가 필요합니다. 토큰이 만료되었는지도 판단하지 않고 클레임만 보여 줍니다. 암호화된 토큰 (JWE) 은 복호화하지 않습니다. 헤더와 페이로드는 Base64URL일 뿐 암호화가 아니므로, 페이로드에 절대 비밀 정보를 넣지 마세요.
아니요. 디코딩은 전부 브라우저에서 로컬로 실행됩니다. 토큰은 기기를 떠나지 않으며 저장되지도 않습니다.
아니요. 헤더와 페이로드만 디코딩합니다. 서명 검증에는 발급자의 키가 필요하지만 이 도구는 의도적으로 절대 요구하지 않습니다. 디코딩된 토큰은 신뢰할 수 있는 토큰이 아닙니다.
대개 아닙니다. 헤더와 페이로드는 Base64URL로 인코딩되었을 뿐이라 누구나 다시 읽을 수 있습니다. 그러니 페이로드에 비밀 정보를 넣지 마세요.
표준 클레임입니다. iss는 발급자, iat는 발급 시각, exp는 만료 시각 (Unix 시간), sub는 주체를 뜻합니다. 이 도구는 그대로 보여 줄 뿐 평가하지 않습니다.
입력이 유효한 JWT가 아니면 (부분 개수가 틀리거나 Base64URL이 깨진 경우), 이 도구는 틀린 결과를 내놓지 않고 솔직히 오류를 알립니다.