JWT 인코더/검증기

JWT 인코더/검증기란?

JWT 인코더/검증기는 토큰 생성, 디코드, 검증 단계를 한 화면에서 처리해 인증 점검 시간을 줄여주는 실무형 도구입니다. Header/Payload를 바로 편집해 토큰을 만들고, 수신한 토큰은 즉시 구조 분석과 정책 검사를 실행할 수 있습니다.

검증 시에는 알고리즘 허용 목록, 서명 무결성, 시간 기반 클레임(exp/nbf/iat), 예상 클레임(iss/aud/sub/jti)을 동시에 확인해 운영 환경의 보안 기준을 재현할 수 있습니다.

기준일: 2026-02-27

이런 상황에서 사용하세요

• 로그인 장애 분석 – 만료 또는 nbf 지연으로 발생한 인증 실패 원인을 빠르게 분리할 때
• API 게이트웨이 정책 점검 – 허용 알고리즘과 발급자 정책이 실제 토큰과 일치하는지 사전 검증할 때
• 테스트 토큰 제작 – QA 단계에서 다양한 payload를 가진 JWT를 반복 생성할 때
• aud 호환성 검토 – aud가 문자열/배열로 혼재된 서비스 간 호환 여부를 확인할 때
• 보안 리뷰 문서화 – PASS/FAIL 체크리스트를 근거로 검토 보고서를 작성할 때

주요 기능

• 인코드/디코드/검증 분리 실행 – 필요한 단계만 선택해 수행하므로 디버깅 동선을 단축할 수 있습니다.
• HS256/384/512 서명 검증 – 입력한 Secret으로 실제 서명 일치 여부를 계산해 위변조 가능성을 판단할 수 있습니다.
• alg 허용 목록 검사 + none 차단 – 운영 정책과 다르거나 alg=none인 토큰을 즉시 실패 처리합니다.
• 시간 클레임 검증(Clock Skew 반영) – 분산 시스템의 시계 오차를 고려한 유효성 판정을 제공합니다.
• 요약 카드 + 체크리스트 카드 – 한눈에 핵심 상태를 파악하고, 항목별 실패 사유를 즉시 확인할 수 있습니다.
• JSON/CSV 다운로드 – 검증 결과와 클레임 데이터를 감사 로그 또는 공유 문서에 그대로 활용할 수 있습니다.

사용 방법

1. 입력 준비 – 기존 JWT를 붙여넣거나 Header/Payload를 작성합니다.
2. 인코드 또는 디코드 – 토큰 생성이 필요하면 인코드, 분석이 목적이면 디코드를 실행합니다.
3. 검증 조건 설정 – 허용 알고리즘, Clock Skew, 예상 iss/aud/sub/jti를 필요한 범위만 입력합니다.
4. 검증 실행 – 검증 버튼을 누르면 결과 영역으로 자동 이동하며 PASS/FAIL 사유가 표시됩니다.
5. 내보내기 – JSON/CSV 버튼으로 결과를 내려받아 팀 문서나 티켓에 첨부합니다.

검증 기준 상세

이 도구의 검증 로직은 RFC 7519 표준 클레임 해석을 기반으로 동작하며, HMAC 서명은 브라우저 Web Crypto API로 계산합니다. aud 검사는 문자열과 배열 클레임을 모두 처리합니다.

참고 문서(공식 HTTPS): RFC 7519 (JWT), RFC 7515 (JWS), RFC 8725 (JWT BCP), MDN SubtleCrypto.sign(), OWASP JWT Cheat Sheet Project

자주 묻는 질문