JWT 디코더 / 검사
JWT를 붙여넣으면 헤더와 페이로드를 디코딩하고 alg:none, 만료, exp 누락 등의 위험을 점검합니다. 모든 처리는 브라우저 안에서 이루어지며, 서명 검증은 수행하지 않습니다.
모든 처리는 브라우저 안에서 이뤄집니다. 입력한 내용은 서버로 전송되지 않습니다.
위에 JWT를 붙여넣으면 디코딩 결과가 표시됩니다.
사용 방법
- 1
검사할 JWT를 붙여넣습니다(헤더.페이로드.서명 — 세 부분).
- 2
헤더와 페이로드가 디코딩되고 위험한 값이 나열됩니다.
- 3
exp / iat / nbf는 사람이 읽을 수 있는 시각으로 변환되어 표시됩니다.
왜 중요한가
핵심은 JWT가 암호화된 것이 아니라는 점을 이해하는 것입니다. 누구나 Base64URL로 디코딩해 내용을 읽을 수 있습니다. 따라서 비밀 정보를 페이로드에 넣지 말고, alg:none을 거부하며, 반드시 exp를 설정하세요 — 이것이 기본 방어입니다.
자주 묻는 질문
Q붙여넣은 JWT가 전송되나요?
A
아니요. 디코딩은 전부 브라우저 안에서 이루어지며, 토큰은 서버로 전송되지 않습니다. 그렇더라도 운영 환경의 기밀 토큰을 다룰 때는 주의하세요.
Q서명은 검증되나요?
A
아니요. 이 도구는 디코딩과 내용 점검만 하며 서명 검증은 하지 않습니다(검증에는 키가 필요하며, 방어 목적에서는 내용을 확인하는 것이 핵심입니다).