utilbox
목록으로 돌아가기
데이터

JWT 디코더

JWT 토큰을 붙여넣으면 헤더·페이로드·서명을 즉시 파싱합니다. 만료 여부와 클레임을 한눈에 확인하세요.

JWT 토큰

위 입력창에 JWT 토큰을 붙여넣으면 즉시 파싱됩니다.

사용 방법

  1. API 응답이나 Authorization 헤더의 Bearer 토큰(eyJ...로 시작)을 입력창에 붙여넣습니다.
  2. 헤더에서 서명 알고리즘(HS256, RS256 등)과 타입을 확인합니다.
  3. 페이로드에서 사용자 ID(sub), 만료 시간(exp), 발급자(iss) 등 클레임을 확인합니다.
  4. 만료 시간(exp)이 있으면 상단에 유효/만료 여부가 자동으로 표시됩니다.
  5. 각 섹션 우측 복사 버튼으로 개별 JSON을 클립보드에 복사합니다.
⚠ 이 도구는 브라우저 내에서만 동작하며 토큰을 서버로 전송하지 않습니다. 단, 프로덕션 시크릿이 담긴 토큰은 주의하여 사용하세요. 서명 검증은 비밀 키 없이는 불가능합니다.

관련 툴

정규식 테스터

정규식 패턴을 실시간으로 테스트하고 매칭 결과를 확인합니다.

UUID 생성기

UUID v4와 Short ID를 원하는 개수만큼 즉시 생성합니다.

타임스탬프 변환기

Unix 타임스탬프와 날짜·시간을 즉시 변환합니다.

JWT 디코더 자세히 알아보기

JWT 디코더는 eyJ...로 시작하는 JSON Web Token을 점(.)으로 구분된 세 부분(헤더·페이로드·서명)으로 분해해 사람이 읽을 수 있는 JSON으로 즉시 보여주는 개발자 도구입니다. 헤더에서는 알고리즘(HS256, RS256, ES256 등)과 토큰 유형을 확인하고, 페이로드에서는 sub(사용자 ID), exp(만료시간), iss(발급자), aud(대상자) 같은 표준 클레임과 커스텀 클레임을 한눈에 살펴볼 수 있습니다.

더 알아보기

만료 시간(exp)이 포함된 토큰은 상단에 "유효 / 만료" 상태가 자동 표시되어 인증 문제를 빠르게 디버깅할 수 있고, 각 섹션마다 복사 버튼이 있어 페이로드 JSON만 골라 클립보드에 담을 수 있습니다. 모든 디코딩은 브라우저 내부에서 base64url 디코딩만 수행하며 토큰을 외부 서버로 전송하지 않습니다.

이럴 때 사용하세요

  • OAuth/OIDC ID 토큰의 sub·email·이메일 인증 여부 등을 빠르게 확인할 때
  • Bearer 토큰을 받은 API 클라이언트에서 만료 시간을 확인해 401 원인을 찾을 때
  • JWT의 iss·aud가 의도한 발급자·대상자와 일치하는지 검증할 때
  • 프론트엔드 로컬스토리지에 저장된 토큰의 클레임을 디버깅할 때

JWT 디코더 자주 묻는 질문

JWT 서명(signature)이 유효한지도 확인되나요?
아니요. 서명 검증은 발급자의 비밀 키나 공개키가 필요해 클라이언트 도구로는 불가능합니다. 본 도구는 디코딩만 수행하며 서명은 표시만 됩니다. 검증은 백엔드에서 jose, jsonwebtoken 같은 라이브러리로 진행하세요.
JWT가 정말 안전한가요?
JWT는 base64url로 인코딩되어 있을 뿐 암호화되어 있지 않아 페이로드는 누구나 디코딩할 수 있습니다. 비밀번호·민감정보는 절대 페이로드에 넣지 마세요. 보안은 서명이나 JWE(암호화 JWT)로 별도 처리해야 합니다.
만료 시간(exp)은 어떻게 표시되나요?
exp는 Unix 타임스탬프(초)로 본 도구가 자동으로 사람이 읽을 수 있는 날짜·시간으로 변환해 표시하며, 현재 시각과 비교해 만료 여부를 색상으로 알려줍니다.
내 프로덕션 토큰을 붙여넣어도 안전한가요?
본 도구는 토큰을 외부로 전송하지 않고 브라우저 안에서만 디코딩합니다. 다만 페이로드 자체는 base64url로 누구나 풀 수 있다는 점을 인식하고 사용하세요. 민감 토큰은 본인 단말에서만 다루는 것을 권장합니다.
Refresh Token도 디코딩되나요?
Refresh Token이 JWT 형식이면 디코딩됩니다. 다만 많은 시스템은 Refresh Token을 단순 랜덤 문자열로 발급하므로 그 경우에는 디코딩되지 않습니다.