JWT 디코더
JWT 토큰을 분석하여 헤더, 페이로드, 시그니처를 확인합니다. 만료 시간 검증, HMAC 서명 확인, 표준 클레임 분석을 지원합니다.
JWT 디코더
JWT 토큰을 입력하면 자동으로 디코딩됩니다
JWT 디코더란?
JWT 디코더는 JSON Web Token(JWT)을 분석하여 그 내부 구조와 데이터를 확인할 수 있는 개발자 도구입니다. JWT는 웹 애플리케이션에서 사용자 인증과 정보 교환에 널리 사용되는 표준(RFC 7519)으로, 이 도구를 통해 토큰의 헤더, 페이로드, 서명을 쉽게 분석할 수 있습니다.
주요 기능
- 실시간 디코딩: JWT 토큰을 입력하면 즉시 헤더와 페이로드가 JSON 형식으로 표시됩니다.
- 서명 검증: HMAC 알고리즘(HS256, HS384, HS512)으로 서명된 토큰의 유효성을 검증할 수 있습니다.
- 만료 시간 확인: exp, iat, nbf 등 시간 관련 클레임을 사람이 읽기 쉬운 날짜 형식으로 변환합니다.
- 히스토리 관리: 최근 디코딩한 토큰을 저장하여 빠르게 다시 확인할 수 있습니다.
- 100% 클라이언트 처리: 모든 디코딩이 브라우저에서 이루어져 보안이 유지됩니다.
JWT 구조 이해하기
JWT는 점(.)으로 구분된 세 부분으로 구성됩니다:
- 헤더(Header): 토큰 타입(typ)과 서명 알고리즘(alg)을 명시합니다. 예: {“alg”: “HS256”, “typ”: “JWT”}
- 페이로드(Payload): 클레임(claims)이라 불리는 실제 데이터를 담고 있습니다. 사용자 정보, 권한, 만료 시간 등이 포함됩니다.
- 서명(Signature): 헤더와 페이로드를 인코딩한 값을 비밀키로 서명한 결과입니다. 토큰 위변조 방지에 사용됩니다.
주요 클레임 설명
JWT 페이로드에는 다양한 표준 클레임이 포함될 수 있습니다:
- iss (Issuer): 토큰을 발급한 주체를 식별합니다.
- sub (Subject): 토큰의 주제(보통 사용자 ID)를 나타냅니다.
- aud (Audience): 토큰의 수신자를 지정합니다.
- exp (Expiration Time): 토큰 만료 시간입니다. 이 시간이 지나면 토큰은 유효하지 않습니다.
- nbf (Not Before): 이 시간 이전에는 토큰이 유효하지 않습니다.
- iat (Issued At): 토큰이 발급된 시간입니다.
- jti (JWT ID): 토큰의 고유 식별자입니다.
사용 방법
- JWT 토큰을 입력창에 붙여넣거나, 샘플 버튼을 클릭하여 예제 토큰을 확인합니다.
- 토큰이 입력되면 자동으로 헤더, 페이로드, 서명 정보가 표시됩니다.
- 서명 검증이 필요한 경우, Secret Key 입력란에 비밀키를 입력합니다.
- 시간 관련 클레임은 자동으로 읽기 쉬운 날짜 형식으로 변환됩니다.
- 최근 디코딩한 토큰은 히스토리에 저장되어 나중에 다시 확인할 수 있습니다.
보안 고려사항
- 민감한 정보 주의: JWT 페이로드는 암호화되지 않고 Base64로만 인코딩됩니다. 민감한 정보는 페이로드에 포함하지 마세요.
- 서명 검증 필수: 프로덕션 환경에서는 반드시 서명을 검증하여 토큰 위변조를 방지해야 합니다.
- 만료 시간 확인: exp 클레임을 항상 확인하여 만료된 토큰을 사용하지 않도록 합니다.
- HTTPS 사용: JWT 전송 시 반드시 HTTPS를 사용하여 토큰 탈취를 방지하세요.
자주 묻는 질문
JWT 토큰은 무엇인가요?
JWT(JSON Web Token)는 두 당사자 간에 정보를 안전하게 전송하기 위한 개방형 표준(RFC 7519)입니다. 자가 포함(self-contained) 방식으로 필요한 모든 정보를 토큰 자체에 담고 있어 별도의 세션 저장소 없이도 사용자 인증이 가능합니다. 웹 애플리케이션의 로그인 시스템, API 인증, SSO(Single Sign-On) 등에 널리 사용됩니다.
JWT와 세션 기반 인증의 차이점은 무엇인가요?
세션 기반 인증은 서버에 사용자 정보를 저장하고 클라이언트에게 세션 ID만 전달합니다. 반면 JWT는 모든 정보를 토큰 자체에 포함하여 서버의 상태를 유지할 필요가 없습니다(stateless). 이로 인해 JWT는 분산 시스템과 마이크로서비스 아키텍처에 적합하며, 서버 확장이 용이합니다.
JWT 디코딩은 안전한가요?
이 JWT 디코더는 100% 브라우저에서 동작하며 어떤 데이터도 서버로 전송하지 않습니다. 그러나 JWT의 페이로드는 암호화되지 않고 Base64로 인코딩만 되어 있으므로, 누구나 디코딩할 수 있습니다. 따라서 비밀번호나 신용카드 번호 같은 민감한 정보는 JWT에 포함하면 안 됩니다.
HS256, RS256 등 알고리즘의 차이는 무엇인가요?
HS256(HMAC-SHA256)은 대칭키 알고리즘으로 서명과 검증에 동일한 비밀키를 사용합니다. RS256(RSA-SHA256)은 비대칭키 알고리즘으로 개인키로 서명하고 공개키로 검증합니다. HS256은 구현이 간단하고 빠르지만, RS256은 공개키를 안전하게 배포할 수 있어 마이크로서비스 환경에서 유리합니다.
JWT 토큰이 만료되면 어떻게 해야 하나요?
JWT가 만료되면 새 토큰을 발급받아야 합니다. 일반적으로 Refresh Token을 사용하여 Access Token을 갱신하는 방식을 사용합니다. Access Token은 짧은 만료 시간(예: 15분)을 가지고, Refresh Token은 긴 만료 시간(예: 7일)을 가집니다. 이렇게 하면 보안과 사용자 경험의 균형을 맞출 수 있습니다.
JWT를 어디에 저장해야 하나요?
JWT는 localStorage, sessionStorage, 또는 쿠키에 저장할 수 있습니다. localStorage는 편리하지만 XSS 공격에 취약합니다. HttpOnly 쿠키는 JavaScript에서 접근할 수 없어 더 안전하지만 CSRF 공격에 대비해야 합니다. 보안이 중요한 경우 HttpOnly, Secure, SameSite 속성이 설정된 쿠키 사용을 권장합니다.
서명 검증은 왜 필요한가요?
서명 검증은 JWT가 위조되지 않았음을 확인하는 과정입니다. 악의적인 사용자가 페이로드를 수정하면 서명이 일치하지 않게 됩니다. 서버는 비밀키로 서명을 재계산하여 토큰에 포함된 서명과 비교함으로써 토큰의 무결성을 검증합니다. 이 과정 없이는 누구나 토큰을 수정하여 다른 사용자로 가장할 수 있습니다.