🪪 JWT 디코더
헤더·페이로드를 JSON으로 펼치고 만료 여부를 판정합니다. 토큰은 브라우저 밖으로 나가지 않습니다.
사용 방법
- JWT 토큰 전체(xxx.yyy.zzz 형태)를 붙여넣습니다.
- 헤더(알고리즘)와 페이로드(클레임)가 JSON으로 표시됩니다.
- exp(만료)·iat(발급) 시각이 한국 시간으로 해석되고 만료 여부가 표시됩니다.
이럴 때 유용해요
- 로그인이 자꾸 풀릴 때 액세스 토큰의 만료 시각을 확인할 때
- API 디버깅 중 토큰에 어떤 권한·클레임이 들어있는지 볼 때
- 발급받은 토큰의 서명 알고리즘(HS256/RS256)을 확인할 때
알아두면 좋은 팁
- JWT의 페이로드는 암호화가 아니라 Base64 인코딩일 뿐입니다. 누구나 열어볼 수 있으니 토큰에 민감정보를 담으면 안 됩니다.
- 이 도구는 서명(signature)의 유효성은 검증하지 않습니다. 내용 확인용이며, 서명 검증은 비밀키를 아는 서버에서만 가능합니다.
자주 묻는 질문
JWT를 여기 붙여넣어도 보안상 괜찮나요?
디코딩은 전부 브라우저 안에서 수행되고 토큰이 네트워크로 전송되지 않습니다. 다만 실서비스의 유효한 토큰은 그 자체가 출입증이므로, 확인 후 화면을 방치하지 말고 가능하면 만료된 토큰으로 디버깅하세요.
exp 값 1720800000은 어떻게 읽나요?
Unix 타임스탬프(1970년 1월 1일부터의 초)입니다. 이 도구가 자동으로 한국 시간으로 변환해 만료 여부까지 표시합니다. 현재 시각보다 과거면 그 토큰으로는 인증이 거부됩니다.
서명이 유효한지도 확인할 수 있나요?
아니요. 서명 검증에는 서버만 아는 비밀키(HS256) 또는 공개키(RS256)가 필요합니다. 이 도구는 내용 해석 전용이며, '디코딩이 된다'와 '토큰이 유효하다'는 별개입니다.
토큰이 두 부분(점 1개)뿐인데 왜 오류가 나나요?
표준 JWT는 헤더.페이로드.서명 세 부분으로 이뤄집니다. 복사 과정에서 잘렸거나, JWE(암호화 토큰) 같은 다른 형식일 수 있습니다. 토큰 전체를 다시 복사해 시도해 보세요.