JWT 디코더

JWT(JSON Web Token) 헤더와 페이로드를 디코딩하고 만료 상태를 확인합니다.

JWT 토큰
개인정보 보호 및 공유
서버 처리 JWT 디코딩은 서버가 클레임, 경고, 안전한 공유 출력을 해석할 수 있도록 토큰을 ComUtil로 보냅니다.
민감한 입력 입력이 민감하다면 먼저 브라우저 로컬 도구를 사용하거나 가림 처리를 한 뒤, 꼭 필요할 때만 ComUtil 서버 처리나 조회 워크플로우로 넘어가세요.
헤더
{
  "alg": "HS256",
  "typ": "JWT"
}
페이로드
{
  "iss": "https://issuer.example.com",
  "aud": "api://comutil",
  "sub": "user-123",
  "iat": 1700000000,
  "nbf": 1700000000,
  "exp": 4102444800
}
경고
감지된 경고 없음
클레임 요약
Issuer https://issuer.example.com
대상 api://comutil
주체 user-123
발급 시간 (iat) 2023-11-14 22:13:20 UTC
유효 시작 시각 (nbf) 2023-11-14 22:13:20 UTC
만료 시간 (exp) 2100-01-01 00:00:00 UTC
토큰 정보
알고리즘 HS256
유형 JWT
주체 user-123
발급 시간 (iat) 2023-11-14 22:13:20 UTC
만료 시간 (exp) 2100-01-01 00:00:00 UTC 유효
서명 signature
토큰 세그먼트
헤더 길이: 36
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
페이로드 길이: 168
eyJpc3MiOiJodHRwczovL2lzc3Vlci5leGFtcGxlLmNvbSIsImF1ZCI6ImFwaTovL2NvbXV0aWwiLCJzdWIiOiJ1c2VyLTEyMyIsImlhdCI6MTcwMDAwMDAwMCwibmJmIjoxNzAwMDAwMDAwLCJleHAiOjQxMDI0NDQ4MDB9
서명 길이: 9
signature
JWT란 무엇인가요?

JSON Web Token(JWT)은 당사자 간에 JSON 객체로 정보를 안전하게 전송하기 위한 개방형 표준(RFC 7519)입니다. JWT는 비밀키(HMAC) 또는 공개/개인 키 쌍(RSA/ECDSA)을 사용하여 서명할 수 있습니다. 웹 애플리케이션에서 인증 및 정보 교환에 일반적으로 사용됩니다.

JWT 구조

JWT는 점으로 구분된 세 부분으로 구성됩니다: 헤더(알고리즘과 토큰 유형), 페이로드(클레임/데이터), 서명(검증). 각 부분은 Base64Url로 인코딩됩니다. 서명은 토큰이 변조되지 않았음을 보장하지만, 헤더와 페이로드는 누구나 디코딩할 수 있습니다.

주요 사용 사례
  • 사용자 인증 및 권한 부여
  • 싱글 사인온(SSO) 시스템
  • API 인증
  • 서비스 간 안전한 정보 교환
  • 상태 비저장 세션 관리
표준 클레임
iss 발급자 - 토큰을 생성하고 서명한 주체
sub 주체 - 토큰이 나타내는 대상 (보통 사용자 ID)
aud 수신자 - 토큰의 의도된 수신자
exp 만료 - 토큰 만료 Unix 타임스탬프
iat 발급 시간 - 토큰 생성 Unix 타임스탬프
자주 묻는 질문

JWT는 암호화되나요?

표준 JWT(JWS)는 서명되지만 암호화되지 않습니다 - 누구나 페이로드를 읽을 수 있습니다. 암호화된 토큰이 필요하면 JWE(JSON Web Encryption)를 사용하세요. 일반 JWT에 민감한 데이터를 저장하지 마세요.

JWT를 무효화하려면 어떻게 하나요?

JWT는 설계상 상태 비저장이며 직접 무효화할 수 없습니다. 일반적인 전략으로는 짧은 만료 시간, 토큰 블랙리스트, 서명 키 변경(모든 토큰 무효화) 등이 있습니다.