🎫JWT 디버거
로딩 중...
JWT(JSON Web Token)는 당사자 간에 정보를 안전하게 전달하기 위한 개방형 표준(RFC 7519)입니다. 이 도구는 디코더와 생성기를 하나로 통합한 JWT 디버거입니다. 토큰을 분석하거나 테스트용 토큰을 생성한 뒤 바로 디코딩해 볼 수 있습니다.
사용 방법
- 1탭 선택
상단 탭에서 '디코더' 또는 '생성기'를 선택합니다.
- 2JWT 디코딩
디코더 탭에서 JWT 토큰을 붙여넣으면 헤더, 페이로드, 클레임, 서명이 자동으로 분석됩니다.
- 3JWT 생성
생성기 탭에서 알고리즘, 시크릿 키, 클레임을 설정하면 토큰이 자동 생성됩니다.
- 4브릿지 연결
생성기에서 만든 토큰의 '이 토큰 디코딩' 버튼을 누르면 디코더 탭으로 전환되며 토큰이 자동으로 채워집니다.
활용 팁
- 💡JWT 디코딩은 비밀키 없이도 가능합니다. 페이로드는 암호화가 아닌 인코딩이므로, 민감한 정보를 페이로드에 넣지 마세요.
- 💡만료(exp) 클레임을 확인하여 토큰이 유효한지 빠르게 판단할 수 있습니다.
- 💡API 디버깅 시 인증 오류가 발생하면 토큰의 클레임을 확인하여 원인을 파악할 수 있습니다.
- 💡이 도구는 서명을 검증하지 않습니다. 서명 검증은 서버에서 비밀키를 사용하여 수행해야 합니다.
자주 묻는 질문
- Q. JWT는 어떻게 구성되어 있나요?
- A. JWT는 헤더(Header), 페이로드(Payload), 서명(Signature) 세 부분을 점(.)으로 구분합니다. 헤더와 페이로드는 Base64URL로 인코딩되고, 서명은 비밀 키로 생성됩니다.
- Q. JWT 디코딩은 비밀 키 없이도 가능한가요?
- A. 헤더와 페이로드는 누구나 디코딩할 수 있습니다. 서명 검증에만 비밀 키가 필요합니다. 따라서 JWT 페이로드에 민감한 정보는 포함하지 않아야 합니다.
- Q. JWT와 세션 쿠키의 차이는 무엇인가요?
- A. JWT는 서버가 상태를 저장하지 않아 수평 확장에 유리하지만, 토큰 무효화가 어렵습니다. 세션은 서버가 상태를 관리하므로 즉시 로그아웃이 가능하지만 서버 부하가 증가합니다.
- Q. JWT 만료 시간(exp)을 어떻게 설정해야 하나요?
- A. 액세스 토큰은 15분~1시간, 리프레시 토큰은 7~30일로 설정하는 것이 일반적입니다. 보안이 민감한 서비스일수록 짧게 설정하고, 리프레시 토큰으로 자동 갱신합니다.