calai
개발자

JWT 디코더

JWT 토큰의 header·payload·signature 즉시 분석. 서버 전송 X (브라우저에서 처리).

100% 브라우저 처리가입·로그인 불필요영구 무료·워터마크 없음
Header
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload
{
  "sub": "1234567890",
  "name": "Calckr",
  "iat": 1733000000
}
Signature (검증용)
signature
이렇게 사용해요
  1. 1
    입력 붙여넣기
    JSON·SQL·URL 등 그대로 입력
  2. 2
    실시간 처리
    포맷·변환·검증이 즉시
  3. 3
    복사·다운로드
    결과를 클립보드/파일로
개발자 · 가이드

JWT 디코더 완벽 정리

JWT(JSON Web Token)는 인증·정보 교환에 쓰이는 표준 토큰 포맷으로, header.payload.signature 3부분이 점(.)으로 구분된 Base64 인코딩 문자열입니다. 본 도구는 header·payload를 디코딩해 내용을 확인할 뿐 서명 검증은 하지 않습니다. payload는 누구나 볼 수 있으므로 비밀번호·토큰 등 민감 정보를 넣으면 안 됩니다.

01

계산 공식

JWT 형식: header.payload.signature (각각 Base64URL) header: { alg, typ } payload: { sub, exp, iat, ... } signature: HMAC-SHA256(header.payload, secret)
02

언제 사용하나요

  • 01API 디버깅 시 토큰 내용 확인
  • 02토큰 만료 시간(exp) 검증
  • 03JWT 페이로드 구조 분석 (claims)
03

알아두면 좋은 점

  • JWT는 암호화 X — 누구나 디코딩 가능. 민감 정보(비밀번호 등) 넣지 말 것
  • exp(만료) 클레임 필수 — 짧을수록 안전 (보통 15분~1시간)
  • Refresh token + Access token 분리 — 보안 + UX 균형
  • 본 도구는 브라우저 내 디코딩만 — 토큰 외부 전송 없음
04

자주 묻는 질문

01JWT는 안전한가요?

서명으로 변조 방지 가능. 단 디코딩은 누구나 가능 — payload는 "공개 정보"로 취급.

02exp 시간이 무엇인가요?

만료 Unix timestamp. 현재 시간이 exp 초과면 토큰 무효. 본 도구는 자동 검증.

03secret 없이 검증 가능한가요?

디코딩(내용 확인)은 가능. 서명 검증은 secret 필요. 본 도구는 디코딩만 제공.

04JWT 토큰 어디 저장해야?

localStorage(편하지만 XSS 취약) vs httpOnly Cookie(안전·CSRF 주의). SameSite=strict 권장.