MUTools

인코딩 / 디코딩

JWT 디코더

JWT 디코더 도구는 붙여넣은 JWT(JSON Web Token)를 헤더, 페이로드, 서명의 3개로 분해하여 JSON 형식으로 읽기 쉽게 표시하는 도구입니다. "헤더.페이로드.서명"을 "."로 구분한 문자열을 입력하면 실시간으로 디코딩 결과가 표시됩니다.

JWT 를 붙여넣으시면 여기에 디코딩 결과가 표시됩니다

입력한 JWT 와 비밀 키는 모두 브라우저 내에서 처리되며 서버로 전송되지 않습니다.

관련 도구

Base64 인코딩 / 디코딩

텍스트와 Base64 문자열을 서로 변환합니다. URL-safe Base64와 76자 줄바꿈(MIME)에도 대응하며, 입력하면 실시간으로 결과가 표시됩니다. 브라우저만으로 완결됩니다.

이미지 ⇄ Base64 변환

이미지 파일을 Base64 문자열(Data URL)로 변환하고, 반대로 Base64 문자열에서 이미지를 복원할 수 있습니다. CSS / HTML / Markdown의 코드 스니펫도 자동 생성합니다. 브라우저만으로 완결됩니다.

URL 인코딩 / 디코딩

텍스트를 URL 인코딩(퍼센트 인코딩)으로 변환하거나 URL 인코딩된 문자열을 원래의 텍스트로 되돌립니다. 쿼리 파라미터용과 URL 전체용의 2가지 변환 모드에 대응하며, 입력하면 실시간으로 결과가 표시됩니다. 브라우저만으로 완결됩니다.

해시값 생성기

텍스트나 파일에서 MD5, SHA-1, SHA-256, SHA-512 해시값을 한 번에 생성합니다. HMAC(키 기반 해시)과 기댓값과의 대조에도 대응합니다. md5 변환 / sha256 계산 / 해시 계산을 브라우저만으로 완결합니다.

JWT 디코더 도구란?

JWT 디코더 도구는 붙여넣은 JWT(JSON Web Token)를 헤더, 페이로드, 서명의 3개로 분해하여 JSON 형식으로 읽기 쉽게 표시하는 도구입니다. "헤더.페이로드.서명"을 "."로 구분한 문자열을 입력하면 실시간으로 디코딩 결과가 표시됩니다.

표준 클레임(iat 발행 시각 / exp 유효 기간 / nbf 시작 시각)은 UNIX 시각 그대로면 읽기 어렵기 때문에, 사용 중인 언어 설정에 맞춰 "2026년 5월 25일 12:34"와 같은 형식으로 변환하며, 현재 시각에 대한 상대 표기("3일 후", "2시간 전" 등)도 함께 표기합니다. exp를 지난 경우 "만료됨", nbf가 아직 미래인 경우 "미시작" 배지로 경고하므로, 디버깅 중인 토큰이 유효한지 한눈에 판단할 수 있습니다.

옵션으로 시크릿 키를 입력하면 HMAC 계열의 서명(HS256 / HS384 / HS512)을 검증할 수 있습니다. 서명이 시크릿 키와 일치하는지를 브라우저에서 확인할 수 있어 백엔드가 발행한 토큰의 정당성 점검에 편리합니다. RSA / ECDSA / EdDSA 등 공개키 계열 알고리즘(RS256 / ES256 등)은 검증 대상이 아니지만, 헤더와 페이로드의 디코딩 자체는 어떤 알고리즘에서도 수행할 수 있습니다.

입력한 JWT도 시크릿 키도 모두 사용자의 브라우저 내에서 처리하며, 외부 서버로 일절 전송하지 않습니다. 운영 환경의 액세스 토큰이나 실제 시크릿 키를 다루는 경우에도 안심하고 이용할 수 있지만, 공용 PC에서는 검증 후 시크릿 키란을 비울 것을 권장합니다. 브라우저만으로 완결됩니다.

사용 방법

  1. 입력란에 확인할 JWT("헤더.페이로드.서명"을 "."로 구분한 문자열)를 붙여넣습니다. 줄바꿈이나 공백은 자동으로 제거됩니다.
  2. 디코딩 결과가 헤더 / 페이로드 / 서명의 3개 패널에 표시됩니다. 각 패널 오른쪽 상단의 "복사" 버튼으로 포맷팅된 JSON이나 서명 문자열을 복사할 수 있습니다.
  3. 표준 클레임(iss / sub / aud / jti / iat / exp / nbf)이 포함된 경우, 하단의 "표준 클레임" 테이블에 사람이 읽을 수 있는 일시와 상대 시간으로 표시됩니다.
  4. 서명을 검증하려면 "시크릿 키로 서명을 검증"을 활성화하고 HMAC(HS256 / HS384 / HS512)의 시크릿 키를 입력합니다. 검증 결과가 "서명 OK", "서명이 일치하지 않습니다" 등의 배지로 표시됩니다.
  5. 다른 토큰을 시험하고 싶을 때는 "지우기" 버튼으로 입력란을 비운 뒤 다시 붙여넣어 주세요.

활용 사례

  • API 디버깅 중에 액세스 토큰의 내용(iss / sub / aud / 사용자 정의 클레임)을 즉시 확인하고 싶을 때.
  • 받은 JWT의 유효 기간이 지나지 않았는지, 언제 발행된 것인지를 곧바로 조사하고 싶을 때.
  • 인증 기반 문서에 적힌 샘플 토큰을 해독하여 어떤 클레임이 포함되는지 학습하고 싶을 때.
  • 백엔드가 발행하는 HS256 서명 토큰이 설정된 시크릿 키로 올바르게 서명되었는지 직접 검증하고 싶을 때.
  • OIDC / OAuth2의 ID 토큰, 액세스 토큰의 내용(aud / azp / scope 등)을 로컬에서 확인하고 싶을 때.

주의사항

  • 입력한 JWT도 시크릿 키도 외부로 전송하지 않습니다. 모든 처리는 사용자의 브라우저 내에서 완결됩니다.
  • 지원하는 서명 검증 알고리즘은 HS256 / HS384 / HS512뿐입니다. RSA / ECDSA / EdDSA 등 공개키 계열(RS256 / ES256 / EdDSA 등)의 검증은 대상 외이지만, 헤더와 페이로드의 디코딩은 어떤 알고리즘에서도 수행할 수 있습니다.
  • 표준 클레임의 시각(iat / exp / nbf)은 RFC 7519에 따라 초 단위 UNIX 시각으로 해석합니다.
  • 만료 / 미시작 판정은 사용 중인 단말기의 시스템 시각을 기준으로 수행합니다. 단말기의 시각이 어긋나 있으면 판정도 어긋날 수 있다는 점에 주의해 주세요.
  • JWE(암호화된 JWT)는 지원하지 않습니다. 이 도구가 다루는 것은 JWS(서명된 JWT) 형식뿐입니다.
  • 디코딩 시 입력 중인 공백 문자(반각 스페이스, 탭, 줄바꿈 등)는 자동으로 제거한 뒤 처리합니다. 여러 줄로 접힌 토큰도 그대로 붙여넣어도 괜찮습니다.

자주 묻는 질문

붙여넣은 JWT나 시크릿 키가 서버로 전송되나요?
전송되지 않습니다. 디코딩도 서명 검증도 모두 사용자의 브라우저 내에서 완결됩니다. 운영 환경의 액세스 토큰이나 시크릿 키를 다루는 경우에도 안심하고 이용할 수 있지만, 공용 PC에서는 검증 후에 시크릿 키란을 비워 두는 것을 권장합니다.
RSA나 ECDSA로 서명된 JWT의 검증이 가능한가요?
이 도구에서의 검증은 HMAC 계열(HS256 / HS384 / HS512)만 지원합니다. RSA / ECDSA / EdDSA 등 공개키 계열의 검증은 대상 외이지만, 헤더와 페이로드의 디코딩이나 표준 클레임 표시는 어떤 알고리즘에서도 수행할 수 있습니다.
만료 판정은 어떻게 이루어지나요?
페이로드에 포함된 exp(유효 기간)가 사용 중인 단말기의 시스템 시각보다 과거이면 "만료됨"으로 판정합니다. 반대로 nbf(시작 시각)가 미래이면 "미시작"으로 표시합니다. 단말기의 시계가 어긋나 있으면 판정도 어긋날 수 있다는 점에 주의해 주세요.
암호화된 JWT(JWE)도 지원하나요?
지원하지 않습니다. 이 도구가 다루는 것은 JWS(서명된 JWT, "헤더.페이로드.서명" 형식)뿐입니다. JWE 형식의 문자열을 입력하면 디코딩에 실패합니다.
서명 부분(3번째 세그먼트)의 내용을 표시할 수 있나요?
서명 부분은 본래 바이너리의 해시값이므로 사람이 읽을 수 있는 형식이 아닙니다. 이 도구에서는 base64url 문자열 그대로 복사할 수 있도록 표시하며, HMAC의 경우에만 시크릿 키를 입력하여 검증할 수 있는 형태로 되어 있습니다.