JWT 디코더
마지막 업데이트: 2026-06-25
JWT 디코더는 JSON Web Token을 점(.)으로 분리해 header와 payload를 Base64URL 디코드한 뒤 JSON으로 보여주는 무료 도구입니다.
서명(signature)은 검증하지 않으며, 모든 처리는 브라우저에서 실행되어 토큰이 서버로 전송되지 않습니다.
JWT 입력
이 도구는 토큰 내용을 보여줄 뿐 서명을 검증하지 않습니다. 운영용 토큰의 신뢰성은 서버에서 확인하세요.
Header
Payload
사용 방법
- 토큰 붙여넣기 — header.payload.signature 형식의 JWT 문자열을 입력란에 붙여넣습니다.
- 디코드 실행 — 디코드 버튼을 누르면 header와 payload가 점(.)으로 분리되어 Base64URL 디코딩됩니다.
- 결과 확인 — header·payload JSON과 만료(exp)·발급(iat) 시각이 표시됩니다. 서명은 검증하지 않습니다.
JWT 구조 이해하기
JWT(JSON Web Token)는 인증·인가에 널리 쓰이는 토큰 형식입니다. 점(.)으로 구분된 세 부분으로 이루어지며, 각 부분은 다음과 같은 역할을 합니다.
| 부분 | 내용 | 인코딩 |
|---|---|---|
| Header | 알고리즘(alg), 타입(typ) | Base64URL(JSON) |
| Payload | 클레임(sub, name, iat, exp 등) | Base64URL(JSON) |
| Signature | header·payload 서명값 | 비밀키/공개키 기반 |
header와 payload는 누구나 디코딩할 수 있으므로 민감한 비밀을 payload에 담아서는 안 됩니다. payload는 평문 JSON과 다름없습니다. 디코드된 JSON을 더 보기 좋게 정렬하려면 JSON 포맷터를, exp·iat 같은 타임스탬프를 다른 형식으로 보려면 유닉스 타임스탬프 변환을 사용하세요.
자주 묻는 질문 (FAQ)
이 도구가 JWT 서명을 검증하나요?
아니요. 이 JWT 디코더는 header와 payload를 디코드해 내용을 보여주기만 하며 서명(signature)을 검증하지 않습니다. 서명 검증에는 비밀키 또는 공개키가 필요하므로, 토큰의 신뢰성은 반드시 서버 측에서 검증해야 합니다.
내 토큰이 서버로 전송되나요?
아니요. 모든 디코딩은 브라우저에서 자바스크립트로 처리되며, 입력한 JWT는 서버로 전송되거나 저장되지 않습니다. 그래도 운영용 액세스 토큰은 외부 도구 입력을 피하는 것이 안전합니다.
JWT는 어떤 구조인가요?
JWT는 점(.)으로 구분된 세 부분, 즉 header.payload.signature로 구성됩니다. header와 payload는 Base64URL로 인코딩된 JSON이며, signature는 header와 payload를 비밀키로 서명한 값입니다.
exp와 iat는 무엇인가요?
exp는 토큰 만료 시각, iat는 발급 시각을 유닉스 타임스탬프(초)로 나타냅니다. 이 도구는 이 값들을 사람이 읽는 날짜·시간으로 변환해 보여주고, 현재 시각과 비교해 만료 여부를 표시합니다.
관련 도구·가이드
마지막 업데이트: 2026-06-25