JWT 디코더

JWT 디코더에 오신 것을 환영합니다. 이 도구는 개발자가 JSON Web Token(JWT)을 즉시 디코딩하고 검사할 수 있는 강력한 온라인 도구입니다. 인증 문제를 디버깅하거나, 토큰 클레임을 확인하거나, JWT 구조를 학습할 때, 이 도구는 외부 서버에 데이터를 보내지 않고도 모든 토큰 구성 요소에 대한 명확하고 색상으로 구분된 시각화 정보를 제공합니다.

JSON Web Token (JWT)이란 무엇인가요?

JSON Web Token (JWT, "조트"라고 발음)은 당사자 간에 정보를 JSON 객체로 안전하게 전송하기 위한 간결하고 독립적인 방법을 정의하는 개방형 표준 (RFC 7519)입니다. JWT는 다음과 같은 용도로 널리 사용됩니다.

• 인증(Authentication): 사용자가 로그인한 후, 이후의 각 요청에는 JWT가 포함되어 해당 토큰으로 허용된 경로, 서비스 및 리소스에 액세스할 수 있습니다.
• 정보 교환: JWT는 비밀 키(HMAC) 또는 공용/개인 키 쌍(RSA, ECDSA)을 사용하여 서명할 수 있으므로 당사자 간에 정보를 안전하게 전송할 수 있습니다.
• 권한 부여(Authorization): 서버는 각 요청에 대해 데이터베이스를 쿼리하지 않고도 토큰 클레임을 확인하여 사용자의 권한을 결정할 수 있습니다.

JWT 구조 설명

JWT는 점(.)으로 구분된 세 부분으로 구성됩니다.

1. 헤더 (빨간색)

헤더는 일반적으로 두 가지 정보를 포함합니다.

• alg: 사용된 서명 알고리즘 (예: HS256, RS256, ES256)
• typ: 토큰 유형이며, 항상 "JWT"입니다.

2. 페이로드 (보라색)

페이로드는 클레임(사용자에 대한 설명 및 추가 메타데이터)을 포함합니다. 클레임에는 세 가지 유형이 있습니다.

• 등록된 클레임(Registered claims): iss (발행자), exp (만료 시간), sub (주체), aud (대상자)와 같이 미리 정의된 클레임
• 공개 클레임(Public claims): IANA JSON Web Token 레지스트리에 등록되거나 URI로 정의된 사용자 정의 클레임
• 비공개 클레임(Private claims): 당사자 간에 합의된 사용자 정의 클레임 (예: user_id, role)

3. 시그니처 (파란색)

시그니처는 인코딩된 헤더, 인코딩된 페이로드, 비밀 키 및 헤더에 지정된 알고리즘을 결합하여 생성됩니다. 이는 토큰이 변조되지 않았음을 보장합니다.

일반적인 JWT 클레임 참조

JWT 서명 알고리즘

대칭 알고리즘 (HMAC)

• HS256: SHA-256을 사용하는 HMAC - 서명과 검증에 동일한 비밀 키 사용
• HS384: SHA-384를 사용하는 HMAC
• HS512: SHA-512를 사용하는 HMAC

비대칭 알고리즘 (RSA/ECDSA)

• RS256: SHA-256을 사용하는 RSA 서명 - 개인 키로 서명하고 공개 키로 검증
• RS384: SHA-384를 사용하는 RSA 서명
• RS512: SHA-512를 사용하는 RSA 서명
• ES256: P-256 곡선과 SHA-256을 사용하는 ECDSA
• ES384: P-384 곡선과 SHA-384를 사용하는 ECDSA
• ES512: P-521 곡선과 SHA-512를 사용하는 ECDSA

보안 고려 사항

디코딩 vs 검증

중요: 이 도구는 JWT를 디코딩하지만 검증하지는 않습니다. 디코딩은 단순히 Base64URL로 인코딩된 콘텐츠를 드러낼 뿐이며, 검증에는 시그니처의 유효성을 확인하기 위한 비밀 키가 필요합니다. 서버 측 시그니처 검증 없이 디코딩된 데이터를 절대 신뢰하지 마세요.

모범 사례

• 클레임을 신뢰하기 전에 항상 서버 측에서 시그니처를 검증하세요.
• 액세스 토큰의 경우 일반적으로 15분에서 1시간 정도의 짧은 만료 시간(exp)을 사용하세요.
• 페이로드에 민감한 데이터를 저장하지 마세요 - 인코딩된 것이지 암호화된 것이 아닙니다.
• 전송 중 토큰 가로채기를 방지하기 위해 HTTPS를 사용하세요.
• 토큰 오용을 방지하기 위해 대상자(aud) 클레임을 검증하세요.
• 여러 서비스가 토큰을 검증해야 하는 분산 시스템의 경우 비대칭 알고리즘(RS256, ES256)을 사용하세요.

개인 정보 보호 및 보안

이 JWT 디코더는 전적으로 브라우저에서 작동합니다.

• 서버 전송 없음: 귀하의 JWT는 어떤 서버로도 전송되지 않습니다.
• 클라이언트 측 처리: 모든 디코딩은 브라우저의 JavaScript에서 이루어집니다.
• 데이터 저장 없음: 당사는 귀하의 토큰을 저장, 기록 또는 추적하지 않습니다.
• 오픈 소스 로직: 브라우저의 개발자 도구에서 디코딩 로직을 검사할 수 있습니다.

자주 묻는 질문

JWT (JSON Web Token)란 무엇인가요?

JSON Web Token (JWT)은 당사자 간에 정보를 JSON 객체로 안전하게 전송하기 위한 개방형 표준 (RFC 7519)입니다. JWT는 웹 애플리케이션에서 인증 및 권한 부여에 일반적으로 사용됩니다. JWT는 세 부분으로 구성됩니다: 헤더(알고리즘 및 토큰 유형), 페이로드(클레임/데이터), 시그니처(검증).

브라우저에서 JWT를 디코딩하는 것이 안전한가요?

네, 브라우저에서 JWT를 디코딩하는 것은 안전합니다. 헤더와 페이로드는 암호화된 것이 아니라 단순히 Base64URL 인코딩된 것이기 때문입니다. 그러나 디코딩이 토큰의 시그니처를 검증하지 않는다는 점을 기억하십시오. 적절한 서버 측 시그니처 검증 없이는 디코딩된 데이터를 신뢰하지 마십시오. 이 도구는 전적으로 브라우저에서 토큰을 디코딩하며, 서버로 데이터가 전송되지 않습니다.

JWT의 각 부분은 무엇을 의미하나요?

JWT는 점으로 구분된 세 부분으로 구성됩니다. 1) 헤더 - 서명을 위해 사용되는 알고리즘(alg)과 토큰 유형(typ)을 포함합니다. 2) 페이로드 - 사용자에 대한 설명과 만료 시간(exp), 발행 시간(iat), 주체(sub) 등과 같은 추가 데이터인 클레임을 포함합니다. 3) 시그니처 - 헤더와 페이로드를 비밀 키로 서명하여 생성되며, 토큰이 변조되지 않았는지 확인하는 데 사용됩니다.

이 도구로 시그니처를 검증할 수 없는 이유는 무엇인가요?

시그니처 검증에는 비밀 키(대칭 알고리즘) 또는 공개 키(비대칭 알고리즘)가 필요합니다. 이 도구는 개인 정보 보호를 위해 브라우저에서 실행되므로 서버의 비밀 키에 액세스할 수 없습니다. 서명을 검증하려면 서버 측 라이브러리를 사용하십시오.

일반적인 JWT 클레임은 무엇인가요?

일반적인 등록된 클레임에는 iss, sub, aud, exp, nbf, iat, jti가 포함됩니다. 사용자 정의 클레임에는 user_id, email, roles 등이 포함될 수 있습니다.

추가 리소스

• JWT.io - 공식 JWT 소개
• RFC 7519 - JSON Web Token 사양
• Auth0 - JSON Web Token 문서