JWT 디코더
표준 3파트 JWT를 로컬에서 디코딩하고, 포맷된 Header/Payload JSON, 원본 Signature, exp/nbf/iat 시간을 검증 없이 확인합니다.
입력 텍스트
문자
0 / 16,000
참고: 이 도구는 토큰을 디코딩하고 표시하기만 합니다. 서명을 확인하지 않으며, 신뢰할 수 있는 백엔드가 유효성을 검사할 때까지 디코딩된 클레임을 위조할 수 있습니다.
JWT 디코더점으로 구분된 3부분 전체 JWT를 붙여넣습니다.Header와 Payload JSON을 봅니다. Signature는 원문으로만 표시되며 검증되지 않습니다.로컬 시간과 UTC로 exp/nbf/iat를 확인합니다.필요한 부분을 복사하고, 민감한 token은 끝나면 지웁니다.
빠른 시작
1
2
3
4
자주 쓰는 활용 사례
API 디버깅
토큰 콘텐츠를 빠르게 검사하고 클레임을 비교합니다.
만료 확인
exp와 nbf로 만료 또는 아직 유효하지 않은 상태 확인
JWT 학습
Header/Payload 구조와 Base64URL 인코딩 이해
환경 비교
dev/test/prod 간 토큰 비교
활용 팁
디코딩된 payload는 읽을 수 있지만 신뢰할 수 없습니다. 프로덕션 시스템은 백엔드에서 서명을 검증하고 iss, aud, sub, scope, 폐기 규칙을 확인해야 합니다.
공용 기기에서 민감한 데이터가 포함된 토큰 붙여넣기 피하기
시간 필드는 Unix 타임스탬프(초)이며, 도구가 로컬/UTC 시간으로 변환합니다.
디코딩 규칙
입력은 header.payload.signature 형식의 compact 3파트 JWT여야 합니다. 5파트 JWE와 사용자 정의 토큰 형식은 이 디코더의 범위 밖입니다.
Header와 Payload는 Base64URL을 UTF-8로 디코딩한 뒤 JSON으로 파싱합니다. 둘 중 하나가 유효한 Base64URL 또는 JSON이 아니면 원본 입력을 유지하고 해당 오류를 표시합니다.
Signature 패널은 세 번째 세그먼트 원문만 표시합니다. secret, 공개 키, JWK, JWKS, Web Crypto 검증은 수행하지 않습니다.
보안 경계
JWT 디코딩은 브라우저에서 로컬로 실행됩니다. token 입력은 브라우저 초안으로 남을 수 있습니다. 저장된 작업 공간 또는 WebDAV 동기화가 켜져 있으면 token 입력이 해당 동기화를 통해 저장될 수 있습니다. Header, Payload, Signature 표시 데이터, claim 시간 카드, 파싱 오류, 복사 상태, 실행 취소 기록은 현재 token에서 파생되며 별도 결과 데이터로 저장되지 않습니다. 이 도구는 서명을 검증하지 않고, JWKS나 URL을 가져오지 않으며, token을 업로드하거나 첨부 파일 또는 디코딩 파일 다운로드를 만들지 않습니다. 공유 기기에서는 확인을 마친 뒤 token과 사이트 데이터를 지우세요.
토큰에 민감한 정보가 포함되어 있는 경우 전용 장치를 사용하고 검사 후 입력을 삭제하세요.
디코딩은 claims를 읽기 쉽게 보여줄 뿐입니다. 토큰이 서버에서 발급되었거나 API가 수락하거나 신뢰할 수 있음을 증명하지 않습니다.
alg, kid, iss, aud, sub, scope, roles, jti는 일반 JSON 필드로 표시됩니다. 백엔드, issuer metadata, 키, audience 규칙, 폐기 정책으로 검증하세요.
시간 상태는 로컬 시계로 exp와 nbf를 평가합니다. 서버 clock skew, 유예 기간, 로그인 상태 폐기, refresh token 상태에 따라 실제 결과가 달라질 수 있습니다.
여기서는 지원하지 않습니다: 서명 검증, secret/공개 키 입력, JWK/JWKS 조회, OIDC discovery, OAuth introspection, JWE 복호화, 중첩 JWT 파싱, 토큰 생성, 서버 측 검증.
제한 사항 및 호환성
Base64URL 디코딩만 — 서명 검증 없음
표준 3파트 JWT 만 지원; JWE 또는 사용자 정의 형식 미지원
중첩 JWT (payload 내 JWT)는 처리하지 않음
시간 상태는 완전한 유효성 검사가 아닙니다. 토큰이 만료되지 않았더라도 서버에서 거부될 수 있습니다.
이 페이지는 복사 작업만 제공합니다. 디코딩된 토큰 파일을 다운로드, 내보내기, 저장 또는 공유하지 않습니다.
개인정보 보호 및 보안
JWT 디코딩은 브라우저에서 로컬로 실행됩니다. token 입력은 브라우저 초안으로 남을 수 있습니다. 저장된 작업 공간 또는 WebDAV 동기화가 켜져 있으면 token 입력이 해당 동기화를 통해 저장될 수 있습니다. Header, Payload, Signature 표시 데이터, claim 시간 카드, 파싱 오류, 복사 상태, 실행 취소 기록은 현재 token에서 파생되며 별도 결과 데이터로 저장되지 않습니다. 이 도구는 서명을 검증하지 않고, JWKS나 URL을 가져오지 않으며, token을 업로드하거나 첨부 파일 또는 디코딩 파일 다운로드를 만들지 않습니다. 공유 기기에서는 확인을 마친 뒤 token과 사이트 데이터를 지우세요.
토큰에 민감한 정보가 포함되어 있는 경우 전용 장치를 사용하고 검사 후 입력을 삭제하세요.
자주 묻는 질문
JWT 에는 점으로 구분된 정확히 3개의 Base64URL 부분(header.payload.signature)이 포함되어야 합니다. 추가 공백이나 줄바꿈을 제거하고 페이로드나 인증 헤더 접두사만 붙여넣지 않았는지 확인하세요.
서버는 clock skew, 캐시된 로그인 상태, refresh token 흐름 또는 사용자 지정 유예 기간을 허용할 수 있습니다. 이 디코더는 로컬 시계로 exp claim을 읽으므로 서버 액세스의 최종 판단이 아니라 점검용으로 사용하세요.