JWT 디버거는 JSON Web Token(JWT)을 디코딩하고 검사합니다. 헤더, 페이로드, 서명을 파싱하여 클레임을 표시하고 만료 상태를 확인합니다. 인증 이슈 디버깅, OAuth/OIDC 토큰 검사, 별도의 도구나 jwt.io 접속 없이도 JWT 내용을 확인하는 데 완벽한 도구입니다.
JWT(JSON Web Token)는 최신 API(OAuth, OIDC, 세션 토큰 등) 인증에서 가장 많이 사용되는 형식입니다. 하지만 JWT는 점(.)으로 구분된 세 개의 Base64URL 인코딩 문자열로 되어 있어 사람이 읽기 어렵습니다. JWT 디버거는 이 문자열을 헤더(알고리즘 메타데이터), 페이로드(클레임), 서명 세 부분으로 파싱하고 구문 강조가 적용된 JSON으로 디코딩하여 보여줍니다. 페이로드에서는 iss(발급자), sub(주체), exp(만료), iat(발급 시간), nbf(활성 시작), aud(대상), jti(토큰 ID) 등 알려진 클레임을 확인합니다. 만료 시간은 Unix 타임스탬프에서 읽기 쉬운 형식으로 변환되며 유효, 만료, 또는 미활성 상태로 표시됩니다. 이 도구는 비밀 키가 필요한 서명 검증은 수행하지 않으나(클라이언트측 도구의 범위를 벗어남), 토큰의 정확한 내용을 보여주어 인증 문제를 빠르게 디버깅하도록 도와줍니다.
JWT를 점 단위로 분리하고 각 세그먼트(헤더, 페이로드, 서명)를 Base64URL로 디코딩합니다. 각 부분은 구문 강조와 함께 개별적으로 표시됩니다.
알고리즘(HS256, RS256, ES256)과 토큰 타입을 표시합니다. 서비스가 어떤 서명 방식을 사용하고 있는지 빠르게 확인하세요.
JSON 페이로드를 파싱하여 키, 문자열, 숫자, 불리언을 색상별로 렌더링합니다. 모든 클레임을 한눈에 확인할 수 있습니다.
exp(만료), iat(발급 시간), nbf(활성 시작) 타임스탬프를 확인합니다. 토큰이 유효한지, 만료되었는지, 아직 활성화되지 않았는지 읽기 쉬운 시간 정보와 함께 상태를 표시합니다.
등록된 클레임(iss, sub, aud, exp, iat, nbf, jti)을 인식하고 해당 의미에 대한 빠른 참조 설명을 제공합니다.
원시 토큰의 각 세그먼트를 서로 다른 색상으로 표시하여 헤더, 페이로드, 서명을 시각적으로 구분할 수 있게 합니다.
API가 401 Unauthorized를 반환할 때, 토큰을 붙여넣어 만료되었는지, 형식이 잘못되었는지, 혹은 잘못된 발급자가 발행했는지 확인하세요.
OAuth/OIDC 흐름에서 반환된 액세스 토큰 및 ID 토큰을 디코딩하여 부여된 스코프, 사용자 신원 및 만료 시간을 확인하세요.
백엔드에서 토큰을 수락할 것이라고 가정하기 전에, 필수 클레임(역할, 권한, 테넌트 ID 등)이 토큰에 포함되어 있는지 확인하세요.
백엔드 서비스에서 토큰이 생성되었을 때, 이를 디코딩하여 페이로드가 서비스가 의도한 내용과 일치하는지 확인하세요.
보안 검토 시 localStorage나 쿠키에 저장된 토큰을 디코딩하여 어떤 민감한 데이터가 클라이언트 측에 노출되고 있는지 평가하세요.
DevSuite Pro 독에서 JWT 아이콘을 클릭합니다. 토큰 입력 필드와 디코딩된 세 개의 창이 있는 패널이 열립니다.
API 응답, 인증 헤더, 쿠키 또는 localStorage에서 가져온 JWT를 붙여넣습니다. 'Bearer ' 접두사 포함 여부와 상관없이 작동합니다.
헤더 창에서 알고리즘과 타입을 확인합니다. 백엔드에서 기대하는 방식(주로 HS256 또는 RS256)을 사용하는지 확인하세요.
페이로드 창에 구문 강조가 적용된 모든 클레임이 나타납니다. 표준 클레임(iss, sub, exp)은 해당 용도가 표시됩니다.
상태 배지에 '유효', '만료', 또는 '아직 유효하지 않음'이 표시됩니다. 만료되었다면 그것이 인증 실패의 원인일 가능성이 높습니다.
