JWT 디코더

JWT 디코더 가이드

JWT(JSON Web Token)는 인증과 권한 부여 흐름에서 널리 쓰이는 토큰 형식입니다. 세 개의 점(`.`)으로 구분된 문자열이며, header와 payload는 Base64URL로 인코딩된 JSON입니다. 개발 중에는 토큰 내부 클레임을 빠르게 읽어야 할 일이 많아서, 디코더 도구가 있으면 API 디버깅과 세션 점검이 훨씬 쉬워집니다.

이럴 때 특히 유용합니다

• 로그인 후 발급된 access token의 exp, iat, aud 값을 빠르게 확인할 때
• API 요청 헤더의 Bearer token이 어떤 사용자/클레임을 담고 있는지 점검할 때
• 서버와 프론트엔드가 기대하는 issuer, audience, scope가 맞는지 디버깅할 때
• JWT 만료 시각과 현재 시간을 비교해 인증 오류 원인을 찾을 때

JWT에서 자주 보는 클레임

• `iss`는 토큰을 발급한 주체를 나타냅니다.
• `sub`는 토큰이 가리키는 사용자나 리소스 식별자입니다.
• `aud`는 토큰을 받아야 하는 서비스 또는 애플리케이션입니다.
• `exp`, `iat`, `nbf`는 시간 관련 클레임으로, 타임존 해석과 만료 판별에 중요합니다.
• `jti`는 토큰 자체의 고유 ID로 재사용 방지나 추적에 활용되기도 합니다.

이 도구의 한계

• 토큰을 디코딩만 할 뿐, 서명 검증이나 issuer 검증은 하지 않습니다.
• 암호화된 JWE 토큰은 일반 JWT/JWS처럼 바로 읽을 수 없습니다.
• payload 내용이 보인다고 해서 토큰이 신뢰된다는 뜻은 아닙니다. 항상 서버 검증이 필요합니다.

실무 보안 팁

• 민감한 운영 환경 토큰은 공유하지 말고, 필요하면 테스트 전용 토큰으로 확인하세요.
• 클라이언트에서 JWT를 읽더라도 최종 권한 판단은 서버에서 다시 검증해야 합니다.
• exp 만료만 보지 말고 iss, aud, nbf, signature 검증 여부까지 함께 확인하세요.