JWT 분석 도구
JSON Web Token을 디코딩하고 검증하며, Header, Payload와 Signature를 확인합니다
JWT Token
JWT 예시
JWT란?
JWT (JSON Web Token)는 각 방 사이에서 정보를 안전하게 전송하기 위한 개방형 표준 (RFC 7519)입니다. JWT는 세 부분으로 구성되며, 점으로 구분됩니다:
Header.Payload.Signature
세 부분 상세 설명
- Header (헤더): 토큰 유형과 서명 알고리즘을 포함합니다. 예: {"alg": "HS256", "typ": "JWT"}
- Payload (페이로드): 클레임(claims), 즉 사용자 데이터와 메타데이터를 포함합니다
- Signature (서명): 메시지가 전송 과정에서 변조되지 않았음을 검증하는 데 사용됩니다
표준 Claims 설명
| Claim | 이름 | 설명 |
|---|---|---|
iss | Issuer | 토큰 발급자 |
sub | Subject | 토큰 주제, 보통 사용자 ID |
aud | Audience | 토큰 대상 |
exp | Expiration Time | 만료 시간 (Unix 타임스탬프) |
nbf | Not Before | 유효 시작 시간 |
iat | Issued At | 발급 시간 |
jti | JWT ID | 토큰 고유 식별자 |
이 도구 사용 방법
- JWT Token을 입력란에 붙여넣기 하면 도구가 자동으로 파싱하여 Header와 Payload 내용을 표시합니다
- 색상 태그를 클릭하면 해당하는 Base64 인코딩 부분을 복사할 수 있습니다
- 서명 검증 영역에 시크릿 키를 입력하여 서명이 올바른지 검증할 수 있습니다 (HS256/HS384/HS512 알고리즘 지원)
- 주요 정보 영역에서 자주 사용되는 claims의 디코딩 값이 표시되며, 만료 상태는 색상으로 표시됩니다
보안 팁
- 이 도구는 브라우저 로컬에서 실행되며, Token을 어떤 서버로도 전송하지 않습니다
- JWT는 데이터를 인코딩하고 서명할 뿐 암호화가 아니므로, 누구나 디코딩하여 내용을 볼 수 있습니다
- JWT에 민감한 정보(비밀번호, 신용카드 번호 등)를 저장하지 마세요
- 프로덕션 환경에서 JWT를 전송할 때 HTTPS를 사용하세요