JWT 디코딩 방법 — 헤더, 페이로드, 그리고 주의사항

JSON Web Token(JWT)은 현대 인증 시스템에서 광범위하게 사용됩니다. 디버깅할 때 토큰 안에 무엇이 들어 있는지 읽어야 하는 경우가 많습니다. 방법과 함께 중요한 주의사항도 확인하세요.

JWT의 구조

JWT는 점(.)으로 구분된 세 개의 Base64URL 파트로 이루어져 있습니다.

header.payload.signature

• Header — 알고리즘과 토큰 유형.
• Payload — 클레임(사용자 ID, 만료 시간 exp, 발급자 iss 등).
• Signature — 토큰이 변조되지 않았음을 증명합니다.

디코딩 방법

무료 JWT 디코더를 열고 토큰을 붙여 넣으세요. 헤더와 페이로드가 읽기 쉬운 JSON으로 표시되며, 복사할 수 있습니다.

중요: 디코딩은 검증이 아닙니다

누구든 JWT를 디코딩할 수 있습니다. 헤더와 페이로드는 Base64로 인코딩된 것일 뿐, 암호화된 것이 아닙니다. 디코딩은 서명을 확인하지 않으므로, 디코딩 결과만으로 토큰의 내용을 신뢰해서는 안 됩니다. 서명 검증은 반드시 비밀키 또는 공개키를 사용해 서버에서 수행해야 합니다. 당사의 JWT 디코더는 의도적으로 디코딩만 수행하며 서명을 검증하지 않습니다.

활용 팁

• 페이로드는 JSON 형식입니다. JSON 포매터로 보기 좋게 정렬하거나 유효성을 검사하세요.
• Base64URL 자체에 대해 더 알고 싶다면 Base64 인코더/디코더를 사용해 보세요.

자주 묻는 질문

토큰을 여기에 붙여 넣어도 안전한가요? 디코딩은 브라우저에서 처리되며 아무것도 업로드되지 않습니다. 그래도 실제 프로덕션 토큰은 공유하지 않는 것이 좋습니다.

서명 내용은 왜 볼 수 없나요? 서명은 읽기 위한 데이터가 아니라 검증을 위한 암호화 값이므로 사람이 읽을 수 있는 형태가 아닙니다.