JWT 디코더 & 검사기
개인정보 보호 설계 — 브라우저에서 모두 처리됩니다
토큰을 어디로도 전송하지 않고 JWT(JSON Web Token)를 디코딩하고 헤더와 페이로드를 검사합니다. Toova는 알고리즘, 클레임, 발급 및 만료 타임스탬프를 사람이 읽을 수 있는 형식으로 표시하고, 이미 만료된 토큰을 플래그합니다. 모두 브라우저에서 로컬로 이루어집니다.
JWT를 로컬에서 디코딩하는 이유
다른 모든 JWT 디코더는 토큰을 원격 양식에 붙여 넣도록 요청합니다. 문제는 명백합니다. 토큰이 유효하다면 그 서버를 운영하는 사람이 사칭할 수 있습니다. Toova는 업로드와 로깅 없이 토큰을 전적으로 브라우저에서 디코딩합니다. 프로덕션 액세스 토큰을 붙여 넣고, 클레임을 검사하고, 올바른 형식인지 확인할 수 있습니다. 제3자에게 누출하지 않고 말입니다.
디코딩된 출력에서 보이는 것
Toova는 토큰을 헤더, 페이로드, 서명으로 분할합니다. 헤더는 알고리즘과 키 ID를 보여줍니다. 페이로드는 모든 표준 클레임(iss, sub, aud, exp, nbf, iat, jti)이 읽기 쉬운 형식으로 변환된 정리된 JSON입니다. 타임스탬프는 로컬 시간대로 변환되며 도구는 토큰이 현재 유효한지, 만료되었는지, 아직 활성화되지 않았는지를 플래그합니다.
디코딩만, 절대 신뢰하지 않음
JWT를 디코딩하는 것은 검증하는 것과 다릅니다. 디코더는 토큰이 무엇이라고 주장하는지 보여주지만 서명을 확인하지 않습니다. 그것은 서명 키가 필요하며, 키는 토큰을 발급한 서버에 있습니다. Toova를 사용하여 클레임 구조, 만료, 대상 값을 디버깅하십시오. 액세스를 부여하기 전에 신뢰를 확인하려면 인증 라이브러리를 사용하십시오.
자주 묻는 질문
- Toova가 JWT 서명을 검증합니까?
- 아니요. 검증에는 서명 키가 필요하며, 이는 발급자만 보유합니다. Toova는 헤더와 페이로드를 디코딩하여 클레임을 검사할 수 있게 하지만, 토큰을 신뢰하려면 여전히 비밀 또는 공개 키로 서버 측 검증이 필요합니다.
- 제 토큰이 어디로든 전송됩니까?
- 아니요. 디코더는 전적으로 브라우저에서 실행됩니다. 토큰은 기기를 떠나지 않으며 디코딩 중 외부로 나가는 네트워크 요청이 전혀 없습니다. DevTools를 열고 직접 확인해 보십시오.
- 만료된 토큰을 디코딩할 수 있습니까?
- 예. 디코더는 만료와 관계없이 작동합니다. 토큰을 만료된 것으로 플래그하고 exp 클레임이 언제 지났는지 표시합니다. 요청이 거부된 이유를 디버깅할 때 유용합니다.
- alg 필드는 무엇을 알려줍니까?
- 서명 알고리즘을 식별합니다. HMAC-SHA256은 HS256, RSA는 RS256, ECDSA는 ES256 등입니다. alg가 "none"이면 토큰은 서명되지 않은 것이며, 이는 거의 항상 보안 버그입니다.
- 타임스탬프가 왜 숫자입니까?
- JWT 클레임은 Unix epoch 초를 사용합니다. Toova는 iat, nbf, exp를 로컬 시간대로 변환하여 읽을 수 있게 하면서도 참조용으로 원시 값을 표시합니다.