JWT 생성기·JWT 디코더 사이트 추천 | 토큰 구조 쉽게 확인하는 개발자 도구

JWT 생성기·JWT 디코더 사이트 추천 | 토큰 구조 쉽게 확인하는 개발자 도구

웹 개발을 하다 보면 로그인 인증, API 요청, 사용자 권한 확인 과정에서 JWT라는 용어를 자주 만나게 됩니다. 

특히 프론트엔드와 백엔드가 분리된 구조에서는 로그인 후 발급받은 토큰을 저장하고, 이후 API 요청마다 해당 토큰을 함께 보내는 방식이 많이 사용됩니다. 이때 자주 사용되는 인증 방식 중 하나가 바로 JWT 입니다.

이번 글에서는 JWT가 무엇인지, JWT가 어던 구조로 되어있는지, 그리고 JWT 생성기와 JWT 디코더 유틸리티를 어떻게 활용할 수 있는지 정리해보겠습니다. 

JWT란?

 JWT는 JSON Web Token의 약자입니다. 

쉽게 말하면 사용자 정보나 인증에 필요한 데이터를 JSON 형태로 담고, 이를 문자열 토큰 형태로 주고받을 수 있게 만든 표준 방식입니다. 일반적으로 로그인에 성공하면 서버는 사용자에게 JWT를 발급합니다. 이후 사용자는 API 요청을 보낼 때 이 토큰을 함께 전달하고, 서버는 토큰을 확인하여 사용자가 누구인지, 어떤 권한을 가지고 있는지 판단할 수 있습니다. 

JWT의 가장 큰 특징은 토큰 자체 안에 필요한 정보가 포함될 수 있다는 점입니다. 그래서 서버가 매번 세션 저장소를 조회하지 않아도 토큰 내용을 기반으로 사용자를 식별할 수 있습니다. 

JWT는 어떻게 구성될까?

JWT는 크게 3개의 영역으로 구성됩니다. 

실제 JWT문자열을 보면 점(.)을 기준으로 3개의 구간이 나누어져 있습니다. 

첫 번째는 Header, 두 번째는 Payload, 세 번째는 Signature 입니다. 

1. Header

Header는 토큰의 기본 정보를 담는 영역입니다. 

주로 어떤 알고리즘을 사용했는지, 토큰 타입이 무엇인지가 들어갑니다.

예를 들어 SH256방식의 JWT라면 Header에는 보통 다음과 같은 정보가 포함됩니다. 

• alg : 서명 알고리즘
• typ : 토큰 타입
• alg는 algorithm의 줄임마로, 토큰을 서명할 때 어떤 알고리즘을 사용했는지를 의미합니다.
• typ는 type의 줄임말이며 일반적으로  JWT라는 값이 들어갑니다.

  ---

  2. Payload

Payload는 JWT에서 실제 데이터가 들어가는 영역입니다.

사용자 ID, 이름, 권한, 발급 시간, 만료 시간 같은 정보가 Payload에 포함될 수 있습니다.

예를 들어 다음과 같은 값들이 들어갈 수 있습니다.

• 사용자 ID
• 사용자 이메일
• 사용자 권한
• 토큰 발급 시간
• 토큰 만료 시간
• 토큰 사용 가능 시작 시간

다만 중요한 점이 있습니다.

JWT의 Payload는 암호화된 값이 아닙니다. 일반적인 JWT는 Base64URL 방식으로 인코딩되어 있을 뿐입니다.

즉, 누구나 JWT 디코더를 사용하면 Header와 Payload 내용을 확인할 수 있습니다. 따라서 비밀번호, 관리자 토큰, 개인정보, API Key 같은 민감한 값은 Payload에 넣지 않는 것이 좋습니다.

3. Signature

Signature는 Header와 Payload가 변조되지 않았는지 확인하기 위한 서명 값입니다.

Header와 Payload를 합친 뒤 Secret Key 또는 공개키/개인키 기반으로 서명하여 생성됩니다.

예를 들어 HS256 방식에서는 Secret Key를 사용해 Signature를 만듭니다.

서버는 요청으로 전달받은 JWT의 Header와 Payload를 다시 계산하고, Signature가 일치하는지 확인합니다. 만약 Signature가 일치하지 않는다면 토큰이 변조되었거나 올바르지 않은 Secret Key로 만들어진 토큰일 가능성이 있습니다.

exp, iat, nbf는 무엇일까?

JWT를 확인하다 보면 Payload 안에서 exp, iat, nbf 같은 값을 자주 볼 수 있습니다.

처음 보면 짧은 약어라서 헷갈릴 수 있지만, JWT를 제대로 이해하려면 꼭 알아두는 것이 좋습니다.

exp

exp는 expiration time의 줄임말입니다.

토큰의 만료 시간을 의미합니다.

예를 들어 exp 값이 현재 시간보다 이전이라면 해당 토큰은 만료된 토큰입니다. 서버는 보통 만료된 토큰을 거부하고, 사용자는 다시 로그인하거나 refresh token을 통해 새로운 access token을 발급받아야 합니다.

exp는 보통 Unix Timestamp 형식으로 저장됩니다.

Unix Timestamp는 특정 시간을 숫자로 표현한 값입니다. 일반적인 날짜 형식이 아니라 초 단위 숫자로 저장되기 때문에 처음 보면 알아보기 어렵습니다.

JWT 디코더를 사용하면 이런 exp 값을 사람이 보기 쉬운 날짜와 시간으로 확인할 수 있어 편리합니다.

iat

iat는 issued at의 줄임말입니다.

토큰이 발급된 시간을 의미합니다.

이 값을 보면 해당 JWT가 언제 생성되었는지 확인할 수 있습니다.

개발 중에는 토큰이 새로 발급되고 있는지, 이전 토큰을 계속 사용하고 있는지 확인할 때 iat 값이 유용합니다.

예를 들어 로그인 후 새 토큰을 받아야 하는데 iat 값이 바뀌지 않는다면 토큰 발급 로직에 문제가 있을 수 있습니다.

nbf

nbf는 not before의 줄임말입니다.

이 시간 이전에는 토큰을 사용할 수 없다는 의미입니다.

예를 들어 nbf 값이 현재 시간보다 미래라면, 토큰은 아직 유효하지 않은 상태입니다.

일반적인 로그인 토큰에서는 자주 사용되지 않을 수 있지만, 특정 시간 이후부터만 토큰을 사용할 수 있게 만들고 싶을 때 활용할 수 있습니다.

JWT 생성기란?

JWT 생성기는 Header, Payload, Secret Key 값을 입력해서 JWT 토큰을 만들어볼 수 있는 개발자 유틸리티입니다.

API 인증 테스트를 하거나, JWT 구조를 공부할 때 유용하게 사용할 수 있습니다.

JWT 생성기에서는 보통 다음과 같은 작업을 할 수 있습니다.

• HS256 방식 JWT 생성
• Header JSON 입력
• Payload JSON 입력
• Secret Key 입력
• 생성된 JWT 토큰 복사
• Header, Payload, Signature 분리 확인

특히 백엔드 API를 테스트할 때 임시 토큰이 필요한 경우 JWT 생성기를 사용하면 빠르게 테스트용 토큰을 만들 수 있습니다.

단, 실제 운영 서비스에서 사용하는 Secret Key나 관리자 토큰을 입력하는 것은 권장하지 않습니다. 테스트 목적의 샘플 값으로 사용하는 것이 안전합니다.

JWT 디코더란?

JWT 디코더는 JWT 문자열을 Header, Payload, Signature로 분리해서 보여주는 도구입니다.

로그인 후 발급받은 토큰이 어떤 정보를 담고 있는지 확인하거나, API 인증 테스트 중 토큰 구조가 올바른지 확인할 때 사용할 수 있습니다.

JWT 디코더를 사용하면 다음과 같은 내용을 확인할 수 있습니다.

• Header 정보
• Payload 정보
• Signature 영역
• exp 만료 시간
• iat 발급 시간
• nbf 사용 가능 시작 시간
• Claim 값 확인
• JSON 구조 확인

특히 프론트엔드 개발 중에는 localStorage나 sessionStorage에 저장된 JWT를 복사해서 디코더에 붙여 넣고, 토큰 정보가 정상적으로 들어 있는지 확인하는 경우가 많습니다.

JWT 디코더 사용 시 주의할 점

JWT 디코더는 토큰 내용을 확인하는 데 매우 편리하지만 주의할 점이 있습니다.

일반적인 JWT는 암호화된 토큰이 아닙니다. Base64URL로 인코딩된 문자열이기 때문에 누구나 디코딩해서 Header와 Payload를 볼 수 있습니다.

따라서 다음과 같은 값은 JWT Payload에 넣지 않는 것이 좋습니다.

• 비밀번호
• 주민등록번호
• 전화번호
• 관리자 Secret Key
• API Key
• 민감한 개인정보
• 결제 정보

JWT는 정보를 숨기는 도구가 아니라, 서명을 통해 변조 여부를 확인하는 도구에 가깝습니다.

즉, “내용을 감추는 것”이 아니라 “내용이 바뀌지 않았는지 검증하는 것”이 핵심입니다.

JWT 생성기와 디코더를 함께 사용하면 좋은 경우

JWT 생성기와 JWT 디코더는 따로 사용할 수도 있지만 함께 사용하면 더 편리합니다.

예를 들어 JWT 생성기에서 테스트용 Header와 Payload를 입력해 토큰을 만든 뒤, JWT 디코더에서 해당 토큰이 정상적으로 분리되는지 확인할 수 있습니다.

이 과정을 반복하면 JWT 구조를 이해하는 데 많은 도움이 됩니다.

특히 다음과 같은 경우에 유용합니다.

• JWT 구조를 처음 공부할 때
• API 인증 테스트를 할 때
• 로그인 토큰의 Payload를 확인할 때
• exp, iat, nbf 값을 확인할 때
• 토큰 만료 문제를 디버깅할 때
• 백엔드와 프론트엔드 인증 흐름을 확인할 때

  ---

  JWT 디코딩이 실패하는 이유

JWT 디코딩이 실패하는 경우도 있습니다.

대표적인 이유는 다음과 같습니다.

• Header.Payload.Signature 구조가 아님
• 점(.)으로 3개 영역이 나누어져 있지 않음
• Base64URL 형식이 깨짐
• Header 또는 Payload가 올바른 JSON이 아님
• 복사 과정에서 일부 문자열이 누락됨

JWT는 문자열이 길기 때문에 복사 과정에서 앞부분이나 뒷부분이 빠지는 경우도 있습니다.

디코딩이 되지 않는다면 먼저 토큰이 점(.) 기준으로 3개 구간으로 나누어져 있는지 확인해보는 것이 좋습니다.

마무리

JWT는 로그인 인증과 API 통신에서 자주 사용되는 중요한 인증 방식입니다.

처음에는 Header, Payload, Signature 구조가 어렵게 느껴질 수 있지만 JWT 생성기와 JWT 디코더를 함께 사용하면 훨씬 쉽게 이해할 수 있습니다.

JWT 생성기는 테스트용 토큰을 만들어보는 데 유용하고, JWT 디코더는 발급된 토큰의 구조와 Payload 정보를 확인하는 데 유용합니다.

특히 exp, iat, nbf 같은 claim 값을 확인하면 토큰 만료 문제나 인증 오류를 디버깅할 때 큰 도움이 됩니다.

다만 JWT Payload는 누구나 확인할 수 있으므로 민감한 정보는 절대 넣지 않는 것이 좋습니다.

개발 테스트와 학습 목적이라면 JWT 생성기와 JWT 디코더를 활용해 토큰 구조를 직접 확인해보는 것을 추천합니다.

함께 사용하면 좋은 유틸리티