JWT Decoder - Decode dan Verifikasi JWT di Browser Anda

// decode JWT tanpa mengirim data ke server

Hanya sisi klien — data Anda tidak pernah meninggalkan browser
Input Token
Lepas file JWT atau teks di sini

Cara Decode Token JWT

1

Tempel Token JWT Anda

Salin JSON Web Token Anda dan tempel ke kolom input. JWT decoder secara otomatis mengurai dan men-decode token yang di-encode Base64URL secara instan.

2

Lihat Claim yang Di-decode

Periksa header dan payload JWT yang di-decode. Lihat claim seperti iss, sub, exp, dan iat dalam format JSON atau tabel dengan timestamp yang mudah dibaca.

3

Verifikasi Signature JWT

Masukkan kunci rahasia atau kunci publik Anda untuk memverifikasi signature token. Mendukung algoritma HS256, HS384, HS512 (HMAC) untuk validasi signature.

Apa itu JSON Web Token (JWT)?

header . payload . signature

JSON Web Token (JWT) adalah standar terbuka (RFC 7519) untuk mentransmisikan informasi secara aman antar pihak sebagai objek JSON yang kompak dan aman untuk URL. JWT umumnya digunakan untuk autentikasi, otorisasi, dan pertukaran informasi dalam aplikasi web modern, API, dan sistem single sign-on (SSO).

header

Berisi tipe token dan algoritma penandatanganan (mis. HS256, RS256, ES256).

{"alg": "HS256", "typ": "JWT"}

payload

Berisi claim: terdaftar (iss, exp, sub), publik, dan privat.

{"sub": "user123", "exp": 1699999999}

signature

Signature kriptografi yang memverifikasi bahwa token tidak dirusak.

HMACSHA256(base64(header).base64(payload), secret)

Kasus Penggunaan JWT Umum

Autentikasi API

JWT adalah standar untuk mengamankan REST API. Setelah login, server menerbitkan JWT yang disertakan klien di header Authorization: Bearer untuk permintaan berikutnya.

Single Sign-On (SSO)

JWT memungkinkan autentikasi mulus di beberapa aplikasi. Satu login menghasilkan token yang berfungsi di semua layanan terhubung di organisasi Anda.

Pertukaran Informasi

Transmisikan data secara aman antar pihak. Signature memastikan identitas pengirim dan bahwa pesan tidak diubah dalam transit.

Autentikasi Aplikasi Mobile

Autentikasi stateless ideal untuk aplikasi mobile. Tidak perlu sesi sisi server—JWT berisi semua informasi pengguna yang diperlukan.

Pertanyaan yang Sering Diajukan

Apakah JWT decoder ini aman untuk token produksi?

Ya, JWT decoder ini sepenuhnya aman. Semua decoding dan verifikasi terjadi sepenuhnya di browser Anda menggunakan JavaScript. Token dan kunci rahasia Anda tidak pernah dikirim ke server manapun. Anda dapat memverifikasi ini dengan memeriksa permintaan jaringan di developer tools browser—tidak ada data yang meninggalkan perangkat Anda.

Apa perbedaan antara decode dan verifikasi JWT?

Decoding hanya mengonversi header dan payload yang di-encode Base64URL kembali ke JSON yang dapat dibaca. Siapa pun dapat men-decode JWT tanpa kunci. Verifikasi memeriksa signature kriptografi untuk memastikan token tidak dirusak dan diterbitkan oleh sumber tepercaya. Verifikasi memerlukan kunci rahasia (untuk HMAC) atau kunci publik (untuk RSA/ECDSA).

Algoritma penandatanganan JWT apa yang didukung?

Alat ini dapat men-decode JWT yang ditandatangani dengan algoritma apapun. Untuk verifikasi signature, saat ini kami mendukung algoritma HMAC (HS256, HS384, HS512) menggunakan Web Crypto API. Dukungan verifikasi RSA (RS256, RS384, RS512) dan ECDSA (ES256, ES384, ES512) direncanakan.

Mengapa verifikasi signature JWT saya gagal?

Alasan umum termasuk: 1) Kunci rahasia salah—pastikan Anda menggunakan kunci yang sama persis yang menandatangani token. 2) Format salah—coba beralih antara UTF-8 dan Base64 jika secret Anda di-encode Base64. 3) Ketidakcocokan algoritma—periksa apakah claim alg di header sesuai dengan metode verifikasi Anda. 4) Token dimodifikasi—perubahan apapun pada header atau payload membatalkan signature.

Apa arti claim JWT standar?

Claim terdaftar yang didefinisikan dalam RFC 7519:

  • iss (penerbit) – Siapa yang menerbitkan token
  • sub (subjek) – Pengguna atau entitas yang diwakili token
  • aud (audiens) – Penerima yang dituju dari token
  • exp (kedaluwarsa) – Timestamp Unix saat token kedaluwarsa
  • nbf (tidak sebelum) – Token tidak valid sebelum waktu ini
  • iat (diterbitkan pada) – Kapan token dibuat
  • jti (ID JWT) – Pengidentifikasi unik untuk token