Header hasil decode muncul di sini.
Payload hasil decode muncul di sini.
Info signature muncul di sini.
Dekoder JWT β Decode JSON Web Token Online
Apa itu JWT?
JSON Web Token (JWT) adalah format token yang ringkas dan URL-safe untuk mengirim informasi antar pihak. Tiga bagian dipisahkan titik: Header (algoritma dan tipe), Payload (claims dan data), dan Signature (verifikasi). Sistem autentikasi, alur OAuth, dan API gateway memakai JWT untuk membawa identitas dan otorisasi tanpa harus selalu mengakses penyimpanan sesi.
Cara pakai
- Tempel token Anda di panel Token Terenkode di sebelah kiri.
- Header menampilkan algoritma penandatangan (HS256, RS256, dll.) dan tipe token.
- Payload menampilkan claims: data pengguna, waktu kedaluwarsa, scope, dan apapun yang issuer pilih untuk dimasukkan.
- Tabel Claims Terdekode menambahkan deskripsi yang mudah dibaca untuk claim standar (iss, sub, aud, exp, iatβ¦). Klik baris untuk menyorot key yang cocok di Payload.
- Badge kedaluwarsa di toolbar menunjukkan apakah token masih valid, kedaluwarsa, atau tidak punya claim
exp.
Pertanyaan yang Sering Diajukan
Apakah dekoder ini memverifikasi tanda tangan JWT?
Tidak. Verifikasi tanda tangan memerlukan kunci rahasia (HS256) atau kunci publik (RS256), dan menerima kunci tersebut di alat browser akan menggagalkan tujuan menjaganya tetap privat. Dekoder ini mengurai dan menampilkan header, payload, dan klaim agar Anda dapat memeriksa isi token, tetapi baris tanda tangan hanya menampilkan nilai mentahnya.
Mengapa JWT saya ditampilkan sebagai 'Invalid'?
JWT harus memiliki tepat tiga bagian yang dipisahkan titik: header.payload.signature. Penyebab paling umum: menyalin dengan spasi berlebih, kehilangan bagian ketiga, atau kesalahan decoding base64url saat token rusak dalam pengiriman. Coba salin ulang dari sumber dan tempel lagi.
Apakah alat ini melihat JWT saya?
Tidak. Dekoder berjalan di browser Anda menggunakan atob() dan JSON.parse() bawaan. Token Anda tidak pernah dikirim ke server, tidak dicatat, dan tidak disimpan. Buka tab Network di DevTools saat menempel token untuk memverifikasi β tidak ada permintaan yang dikirim.
Apa perbedaan antara iat, nbf, dan exp?
iat (issued at) adalah waktu token dibuat. nbf (not before) adalah waktu paling awal token boleh diterima. exp (expiration) adalah waktu token berhenti valid. Ketiganya Unix timestamp dalam detik, dan alat ini menampilkan waktu lokal yang mudah dibaca di bawah masing-masing.
Mengapa algoritma ditampilkan tetapi tidak ada tanda centang hijau?
Dekoder menampilkan algoritma apa pun yang dideklarasikan header (HS256, RS256, ES256, dll.), tetapi tidak memeriksa apakah tanda tangan cocok. Token dengan alg: none atau algoritma yang tidak cocok tetap akan didekode di sini. Itu memang disengaja. Verifikasi adalah tugas backend Anda, bukan alat browser.