JWT 토큰을 안전하게 디코드하고 분석하세요. Header, Payload, Signature를 명확히 분리하여 표시하고 토큰 유효성을 검증합니다.
JWT는 당사자 간 정보를 안전하게 전송하기 위한 JSON 기반 토큰입니다. 헤더(알고리즘, 토큰 타입), 페이로드(사용자 정보, 만료시간 등 클레임), 서명의 3부분으로 구성되며 점(.)으로 구분됩니다. Base64URL로 인코딩되어 URL, HTTP 헤더, 쿠키에 안전하게 사용할 수 있습니다. 주로 API 인증, SSO(Single Sign-On)에 사용됩니다.
주요 취약점: ① alg:none 공격 - 서명 검증을 우회. 대응: 알고리즘을 서버에서 고정 ② 비밀키 노출 - 토큰 위조 가능. 대응: 충분히 긴 키 사용, 환경변수 관리 ③ 만료시간 없음 - 탈취 시 영구 사용. 대응: exp 클레임 필수 설정(보통 15-60분) ④ XSS로 토큰 탈취. 대응: HttpOnly 쿠키에 저장. Refresh Token과 Access Token을 분리하여 보안과 편의성을 균형잡는 것이 좋습니다.
세션 인증: 서버가 세션 ID를 생성하여 서버 메모리/DB에 저장하고, 클라이언트는 쿠키로 세션 ID를 전송합니다. 서버에 상태가 있어(stateful) 확장 시 세션 공유가 필요합니다. JWT 인증: 토큰에 모든 정보가 포함되어 서버에 상태 저장 불필요(stateless). 서버 확장이 쉽고 마이크로서비스에 적합합니다. 단점은 토큰 크기가 크고 즉시 무효화가 어렵습니다.
JWT(JSON Web Token) 디코더는 인증 토큰의 Header, Payload, Signature를 분리하여 내용을 분석하고 유효성을 검증하는 개발자 도구입니다. API 개발, 로그인 디버깅, 토큰 만료 시간 확인, 권한(role) 정보 확인 시 필수적으로 사용되며, 모든 처리가 브라우저에서 이루어져 토큰 정보가 서버로 전송되지 않아 안전합니다.