Question 1

JSON Web Tokens (JWT)

Accepted Answer

JWT(JSON Web Token)는 RFC 7519에 정의된 컴팩트하고 URL 안전한 토큰 형식입니다. 점으로 구분된 세 개의 base64url 인코딩 부분으로 구성됩니다: header.payload.signature. JWT는 인증 및 정보 교환에 널리 사용됩니다.

Question 2

구조

Accepted Answer

헤더(Header) — 토큰 타입(typ)과 서명 알고리즘(alg)을 포함하는 JSON 객체, 예: HS256 또는 RS256. 페이로드(Payload) — 클레임을 포함하는 JSON 객체: 등록 클레임(iss 발급자, sub 주체, exp 만료, iat 발급 시간)과 커스텀 클레임. 서명(Signature) — 비밀 키나 개인 키로 인코딩된 헤더와 페이로드를 서명한 결과. 토큰이 변조되지 않았음을 보장합니다.

Question 3

⚠ 보안 주의사항

Accepted Answer

디코딩은 검증과 다릅니다. 이 도구는 토큰을 디코딩하여 내용을 표시하지만 서명을 검증하지 않습니다. 누구나 임의의 클레임으로 JWT를 만들 수 있습니다. 적절한 비밀 또는 공개 키로 서버 측에서 서명을 검증하지 않고 JWT 클레임을 신뢰하지 마세요. 프로덕션에서는 jsonwebtoken(Node.js) 또는 PyJWT(Python) 같은 라이브러리를 사용하세요.

Question 4

등록된 JWT 클레임

Accepted Answer

RFC 7519는 7개의 등록된 클레임을 정의합니다: iss (발급자) — 토큰을 생성한 주체. sub (주체) — 토큰이 나타내는 사용자 또는 엔티티. aud (대상) — 의도된 수신자. exp (만료 시간) — 토큰이 무효화되는 Unix 타임스탬프. nbf (유효 시작 시간) — 이 시간 이전에는 토큰이 유효하지 않음. iat (발급 시간) — 토큰이 생성된 시간. jti (JWT ID) — 재생 공격을 방지하기 위한 고유 식별자.

Question 5

How to decode a JWT token

Accepted Answer

Paste your JWT token (the long string starting with eyJ...) into the input field. The header, payload, and signature are decoded and displayed instantly. The tool also shows whether the token is expired based on the exp claim. Remember: decoding only reveals the contents — always verify signatures server-side.

JWT 디코더

헤더

페이로드

서명

JSON Web Tokens (JWT)

구조

⚠ 보안 주의사항

등록된 JWT 클레임

개인정보