JWT 디코더 - 온라인에서 JSON Web Token 디코딩 및 만료 확인
JSON 웹 토큰을 붙여넣으면 헤더와 페이로드를 즉시 디코딩하고 서명을 확인하며 만료 여부를 점검할 수 있습니다. 로컬에서 실행되어 토큰이 브라우저를 벗어나지 않습니다.
Decode and verify entirely in your browser — nothing is uploaded.
JWT 디코더 사용을 끝내셨나요? 다음 도구도 사용해 보세요
JWT 디코더와 잘 어울리는 엄선된 도구들입니다. 파일을 잃지 않고 작업을 이어가세요.
Base64 인코더 / 디코더
텍스트나 파일을 Base64(URL-safe 변형 포함)로 인코딩하거나 Base64를 다시 텍스트로 디코딩하세요. UTF-8을 안전하게 지원합니다.
지금 사용해 보기해시 생성기
브라우저의 Web Crypto API를 사용해 모든 텍스트나 파일의 SHA-1, SHA-256, SHA-384, SHA-512 16진수 다이제스트를 계산하세요.
지금 사용해 보기JSON 정리
브라우저에서 JSON을 포맷하고, 검증하고, 압축하세요. 2 / 4 / 8칸 들여쓰기로 보기 좋게 정리하거나 한 줄로 압축하고, 복사 및 다운로드할 수 있습니다.
지금 사용해 보기URL 인코더 / 디코더
URL 구성 요소나 전체 URL을 퍼센트 인코딩하고 다시 디코딩하세요. encodeURIComponent 및 encodeURI 모드를 지원합니다.
지금 사용해 보기비밀번호 생성기
실시간 엔트로피 추정과 함께 최대 128자의 강력한 암호학적 난수 비밀번호를 생성하세요.
지금 사용해 보기Diff Checker
두 개의 텍스트 조각을 줄 단위로 비교하세요. 분할 또는 통합 보기, 선택적 공백 무시 및 대소문자 무시 기능을 제공합니다.
지금 사용해 보기Frequently Asked Questions
인코딩된 JWT(긴 eyJ… 문자열)를 입력란에 붙여넣으세요. 도구가 두 개의 점을 기준으로 분리하고 헤더와 페이로드를 Base64URL로 디코딩한 뒤 각각의 JSON과 원시 서명 부분을 표시합니다. 모두 네트워크 요청 없이 이루어집니다.
usage아닙니다. 디코더는 토큰을 파싱만 할 뿐, 비밀 키나 공개 키로 서명을 검증하지는 않습니다. 검증에는 발급자의 키 자료가 필요하기 때문입니다. 프로덕션 환경의 검증에는 서버 측 JWT 라이브러리를 사용하세요. 이 도구는 검사와 디버깅용입니다.
technical헤더(알고리즘 및 키 ID), 페이로드 클레임(sub, iss, aud, iat, exp 및 모든 사용자 지정 클레임), 원본 서명을 확인할 수 있습니다. 표준 타임스탬프 클레임은 사람이 읽기 쉬운 날짜로 표시되므로, 만료된 토큰을 한눈에 알아볼 수 있습니다.
features페이로드에 표준 "exp" 클레임이 있으면 도구가 이를 현재 시간과 비교해 정확한 타임스탬프와 함께 "유효 기간" 또는 "토큰 만료 시각"을 표시합니다. exp 클레임이 없는 토큰은 만료 없음으로 표시됩니다.
featuresJWT의 페이로드를 읽을 수 있는 사람은 누구나 만료 전까지 그 토큰을 사용할 수 있으므로, 운영 환경 토큰은 비공개 도구에서만 다뤄야 합니다. 이 디코더는 전적으로 브라우저 안에서만 실행되며 토큰을 외부로 전송하지 않지만, 가능하면 수명이 짧은 개발용 토큰만 디코딩하는 것이 더 안전합니다.
privacyJWT는 점으로 구분된 세 개의 Base64URL 인코딩 세그먼트로 구성됩니다. 헤더(서명 알고리즘), 페이로드(발급자가 검증자에게 신뢰하게 하려는 클레임), 서명(header.payload에 대한 MAC 또는 디지털 서명)입니다. 디코딩에는 키가 전혀 필요 없으며, 검증에만 필요합니다.
technicalJWT는 헤더, 페이로드, 서명이라는 세 개의 Base64URL 구간으로 이루어진 간결한 URL 안전 토큰으로, 사용자 ID와 만료 시간 같은 서명된 클레임을 담습니다. 무상태 로그인 세션과 API 요청 보호에 널리 사용됩니다. 위에 토큰을 붙여넣으면 헤더와 페이로드를 확인할 수 있습니다.
technical디코딩된 헤더와 페이로드 아래에서, 서명 확인 상자에 서명 비밀 키(HS256용)나 발급자의 공개 키를 PEM 또는 JWK 형식(RS256, ES256 등)으로 붙여 넣은 뒤 확인을 클릭하세요. 나타나는 배지는 서명이 유효한지, 유효하지 않은지, 또는 브라우저 측 검증기가 지원하지 않는 알고리즘을 사용하는지 알려 줍니다 — 이 모든 것은 토큰이나 키를 어디에도 전송하지 않고 로컬에서 계산됩니다.
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsClick Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
OAuth 및 OpenID Connect 흐름 디버깅
Auth0, Okta, Cognito, Azure AD가 반환하는 액세스 토큰과 ID 토큰을 디코딩해 로컬 OAuth 연동 작업 중 스코프, 대상, 발급자를 확인하세요
API 호출의 Authorization 헤더 검사
백엔드 팀에 티켓을 열기 전에, 실패한 API 요청의 베어러 토큰을 붙여넣어 잘못된 테넌트, 역할 또는 만료가 원인인지 확인하세요
개발 중 토큰 만료 확인
exp 클레임을 읽어 스테이징 환경을 조용히 망가뜨리는 만료된 토큰을 찾아내세요. 토큰을 터미널에 복사하거나 간단한 스크립트를 작성할 필요가 없습니다.
토큰 클레임에 인코딩된 권한 검토
역할, 테넌트, 기능 플래그 같은 사용자 정의 클레임을 확인하여, 관리자가 고객의 토큰이 라이선스 팀이 의도한 권한을 정확히 부여하는지 확인할 수 있습니다
싱글 사인온(SSO) 연동 검증
엔터프라이즈 SSO 연동으로 생성된 SAML 및 OIDC 토큰을 검사하여 전 직원에게 배포하기 전에 그룹 멤버십과 속성 매핑을 확인하세요
토큰 기반 인증 가르치기
디코딩된 헤더, 페이로드, 서명 창을 활용해 부트캠프 수강생, 주니어 엔지니어, 보안 워크숍 참가자에게 JWT의 구조를 설명하세요
Confirm a Partner's Webhook Signing Setup
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate