🔐

JWT 만료시간 계산기

JWT 토큰을 디코딩하여 만료 시간을 확인하고, 새 토큰의 만료 시간을 계산합니다. 시그니처 검증 없이 클라이언트에서 안전하게 사용할 수 있습니다.

JWT(JSON Web Token) 만료시간 계산기는 토큰의 `exp` claim에 들어갈 Unix timestamp를 빠르게 산출하는 개발자 도구입니다. 1시간 후, 7일 후, 30일 후 등 자주 쓰이는 만료 시점을 클릭 한 번으로 계산하고, ISO 8601 형식과 현재 시각도 함께 표시합니다. NextAuth, Passport, Auth0, AWS Cognito, Firebase Auth 등 어떤 인증 라이브러리든 적용 가능합니다.

JWT 토큰 입력

⚠️ 이 도구는 시그니처를 검증하지 않습니다. 보안이 필요한 검증은 반드시 서버에서 수행하세요.

📖 사용법

JWT 토큰을 입력란에 붙여넣으세요
자동으로 Header, Payload가 디코딩됩니다
만료 시간과 남은 시간이 실시간으로 표시됩니다
생성 탭에서 새 토큰의 만료 시간을 계산할 수 있습니다

✨ 주요 기능

✓JWT 토큰 자동 디코딩 (Header, Payload)
✓만료 시간(exp) 및 발급 시간(iat) 확인
✓실시간 카운트다운으로 남은 시간 표시
✓만료 여부 즉시 확인
✓토큰 생성 시 필요한 시간 클레임 계산
✓분/시간/일 단위 만료 시간 설정
✓nbf(Not Before) 클레임 선택 추가
✓JSON 형식으로 클레임 복사 가능

📐 계산 공식

exp = iat + 유효기간(초), iat = 현재 Unix 타임스탬프

💡 계산 원리

•JWT(JSON Web Token)는 세 부분으로 구성됩니다: Header.Payload.Signature
•Header에는 알고리즘(alg)과 토큰 타입(typ)이 포함됩니다.
•Payload에는 클레임(claims)이 포함되며, iat/exp/nbf는 시간 관련 표준 클레임입니다.
•iat(Issued At): 토큰이 발급된 시간 (Unix 타임스탬프)
•exp(Expiration Time): 토큰이 만료되는 시간 (Unix 타임스탬프)
•nbf(Not Before): 토큰이 유효해지는 시작 시간 (Unix 타임스탬프)
•시그니처는 서버의 비밀키로 생성되므로, 클라이언트에서는 검증이 불가능합니다.

📊 실제 사용 예시

Access Token 1시간 후 만료

Math.floor(Date.now() / 1000) + 3600

→ 1747645200 (예시, 현재 시각 기준 +3600초)

Refresh Token 30일 후 만료

Math.floor(Date.now() / 1000) + 30 * 86400

→ 현재 + 2,592,000초 (30일)

기존 토큰 디버깅: exp 1731715200 → 사람이 읽을 수 있는 형식

new Date(1731715200 * 1000).toISOString()

→ 2024-11-16T00:00:00.000Z (UTC)

🎯 활용 사례

▸JWT 발급 시 적절한 만료 시간 (Access 15분~1시간, Refresh 7일~30일) 설계
▸기존 토큰 디버깅 시 exp 값이 언제인지 사람 눈으로 확인
▸OAuth 2.0 / OIDC 토큰 수명 정책 수립
▸테스트 환경에서 만료 임박/만료된 토큰 생성하여 갱신 로직 검증
▸다국가 서비스의 시간대 무관한 만료 시간 일관성 보장

⚠️ 흔한 실수와 주의사항

실수: 초(seconds) 대신 밀리초(milliseconds)를 그대로 exp에 넣어 토큰이 미래 만료로 잡힘

바르게: JWT의 exp는 Unix timestamp 초 단위입니다. `Date.now() / 1000` 으로 변환하세요. JavaScript에서는 `Math.floor(Date.now() / 1000)` 가 정확합니다.

실수: 로컬 시간대 기준으로 exp 계산해서 다른 지역 사용자의 토큰이 일찍/늦게 만료

바르게: exp는 UTC 기준 초 단위 timestamp이므로 시간대와 무관합니다. 단, 발급 서버와 검증 서버의 시계 동기화(NTP)는 필수입니다.

실수: 너무 긴 Access Token 만료(예: 30일)로 보안 위험 노출

바르게: Access Token은 15분~1시간 권장. Refresh Token으로 갱신하는 패턴이 표준입니다. Refresh Token 탈취 대비 rotation을 함께 적용하세요.

실수: Clock skew(서버간 시계 차이)로 유효한 토큰이 invalid 처리됨

바르게: JWT 라이브러리의 `clockTolerance` 옵션(기본 0초)을 30~60초로 설정하여 분산 환경의 시계 오차를 흡수하세요.

❓ 자주 묻는 질문

Q. 왜 시그니처를 검증하지 않나요?

A. 시그니처 검증에는 서버의 비밀키가 필요합니다. 클라이언트에서 비밀키를 노출하면 보안 위험이 있으므로, 실제 검증은 서버에서 수행해야 합니다.

Q. 만료된 토큰도 디코딩되나요?

A. 네, 만료 여부와 관계없이 디코딩은 가능합니다. 다만 만료 상태가 빨간색으로 표시됩니다.

Q. iat, exp, nbf가 없는 토큰도 있나요?

A. 네, 이 클레임들은 선택 사항입니다. 만료 시간이 없는 토큰은 영구적으로 유효할 수 있지만, 보안상 권장되지 않습니다.

Q. 생성된 클레임을 어떻게 사용하나요?

A. 복사한 JSON을 서버의 JWT 생성 로직에서 payload에 추가하면 됩니다. 실제 서명은 서버에서 수행해야 합니다.

Q. 어떤 만료 시간이 적당한가요?

A. 용도에 따라 다릅니다. Access Token은 15분~1시간, Refresh Token은 7~30일이 일반적입니다. 민감한 작업에는 짧은 만료 시간을 권장합니다.

이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.