Header
Berisi metadata token: algoritma penandatanganan (alg) dan tipe token (typ). Dikodekan dengan Base64URL.
Decoder JWT
Dekode JSON Web Token (JWT) untuk melihat header dan klaim payload tanpa memverifikasi tanda tangan. Visualisasikan struktur token, analisis klaim, periksa waktu kedaluwarsa, dan debug masalah otentikasi dengan mudah. Pemrosesan 100% di sisi klien untuk privasi.
Decoder JWT
๐ Coba contoh JWT berikut:
๐ Anatomi Struktur JWT
Payload
Berisi klaim (data pengguna, izin, kedaluwarsa). Juga dikodekan dengan Base64URL. Tidak dienkripsi!
Signature
Hash kriptografi dari header + payload + kunci rahasia. Digunakan untuk memverifikasi integritas token.
Tolong dukung MiniWebtool
Ad blocker Anda mencegah kami menampilkan iklan
MiniWebtool gratis karena iklan. Jika alat ini membantu, dukung kami dengan Premium (bebas iklan + lebih cepat) atau whitelist MiniWebtool.com lalu muat ulang halaman.
- Atau upgrade ke Premium (bebas iklan)
- Izinkan iklan untuk MiniWebtool.com, lalu muat ulang
Tentang Decoder JWT
Selamat datang di Decoder JWT, alat online yang kuat bagi pengembang untuk mendekode dan memeriksa JSON Web Token (JWT) secara instan. Baik Anda sedang melakukan debugging masalah autentikasi, memverifikasi klaim token, atau mempelajari struktur JWT, alat ini menyediakan visualisasi yang jelas dan berkode warna dari semua komponen token tanpa mengirimkan data apa pun ke server eksternal.
Apa itu JSON Web Token (JWT)?
JSON Web Token (JWT, diucapkan "jot") adalah standar terbuka (RFC 7519) yang mendefinisikan metode ringkas dan mandiri untuk mentransmisikan informasi secara aman antar pihak sebagai objek JSON. JWT digunakan secara luas untuk:
- Autentikasi: Setelah pengguna masuk, setiap permintaan berikutnya menyertakan JWT, yang memungkinkan akses ke rute, layanan, dan sumber daya yang diizinkan dengan token tersebut.
- Pertukaran Informasi: JWT dapat mentransmisikan informasi secara aman antar pihak karena dapat ditandatangani menggunakan kunci rahasia (HMAC) atau pasangan kunci publik/pribadi (RSA, ECDSA).
- Otorisasi: Server dapat memverifikasi klaim token untuk menentukan izin pengguna tanpa menanyakan basis data untuk setiap permintaan.
Struktur JWT Dijelaskan
Sebuah JWT terdiri dari tiga bagian yang dipisahkan oleh titik (.):
1. Header (Merah)
Header biasanya berisi dua informasi:
alg: Algoritma penandatanganan yang digunakan (misalnya, HS256, RS256, ES256)typ: Tipe token, yang selalu berupa "JWT"
2. Payload (Ungu)
Payload berisi klaim - pernyataan tentang pengguna dan metadata tambahan. Ada tiga jenis klaim:
- Klaim terdaftar: Klaim yang telah ditentukan sebelumnya seperti
iss(penerbit),exp(kedaluwarsa),sub(subjek),aud(audiens) - Klaim publik: Klaim khusus yang terdaftar di IANA JSON Web Token Registry atau didefinisikan sebagai URI
- Klaim privat: Klaim khusus yang disepakati antar pihak (misalnya,
user_id,role)
3. Signature (Biru)
Tanda tangan (signature) dibuat dengan menggabungkan header yang dikodekan, payload yang dikodekan, kunci rahasia, dan algoritma yang ditentukan dalam header. Ini memastikan token tidak diotak-atik.
Referensi Klaim JWT Umum
| Klaim | Nama | Deskripsi |
|---|---|---|
iss |
Penerbit | Mengidentifikasi siapa yang menerbitkan JWT (misalnya, URL server autentikasi Anda) |
sub |
Subjek | Mengidentifikasi subjek dari JWT (biasanya ID pengguna atau email) |
aud |
Audiens | Mengidentifikasi penerima yang dituju untuk JWT ini |
exp |
Waktu Kedaluwarsa | Timestamp Unix setelah itu JWT tidak lagi valid |
nbf |
Bukan Sebelum | Timestamp Unix sebelum itu JWT tidak valid |
iat |
Diterbitkan Pada | Timestamp Unix saat JWT diterbitkan |
jti |
ID JWT | Pengidentifikasi unik untuk JWT (berguna untuk mencegah serangan replay) |
Algoritma Penandatanganan JWT
Algoritma Simetris (HMAC)
HS256: HMAC menggunakan SHA-256 - Kunci rahasia yang sama untuk penandatanganan dan verifikasiHS384: HMAC menggunakan SHA-384HS512: HMAC menggunakan SHA-512
Algoritma Asimetris (RSA/ECDSA)
RS256: Tanda tangan RSA dengan SHA-256 - Kunci privat menandatangani, kunci publik memverifikasiRS384: Tanda tangan RSA dengan SHA-384RS512: Tanda tangan RSA dengan SHA-512ES256: ECDSA menggunakan kurva P-256 dan SHA-256ES384: ECDSA menggunakan kurva P-384 dan SHA-384ES512: ECDSA menggunakan kurva P-521 dan SHA-512
Pertimbangan Keamanan
Mendekode vs Memverifikasi
Penting: Alat ini mendekode JWT tetapi tidak memverifikasi mereka. Mendekode hanya mengungkapkan konten yang dikodekan Base64URL, sementara verifikasi memerlukan kunci rahasia untuk memvalidasi tanda tangan. Jangan pernah mempercayai data yang didekode tanpa verifikasi tanda tangan sisi server.
Praktik Terbaik
- Selalu verifikasi tanda tangan di sisi server sebelum mempercayai klaim apa pun
- Gunakan waktu kedaluwarsa yang singkat (
exp) - biasanya 15 menit hingga 1 jam untuk token akses - Jangan simpan data sensitif dalam payload - itu hanya dikodekan, bukan dienkripsi
- Gunakan HTTPS untuk mencegah pencegatan token selama transmisi
- Validasi klaim audiens (
aud) untuk mencegah penyalahgunaan token - Gunakan algoritma asimetris (RS256, ES256) untuk sistem terdistribusi di mana beberapa layanan perlu memverifikasi token
Privasi & Keamanan
Decoder JWT ini beroperasi sepenuhnya di browser Anda:
- Tidak ada transmisi server: JWT Anda tidak pernah dikirim ke server mana pun
- Pemrosesan sisi klien: Semua dekode terjadi di JavaScript di browser Anda
- Tidak ada penyimpanan data: Kami tidak menyimpan, mencatat, atau melacak token Anda
- Logika sumber terbuka: Anda dapat memeriksa logika dekode di alat pengembang browser Anda
Pertanyaan yang Sering Diajukan
Apa itu JWT (JSON Web Token)?
JSON Web Token (JWT) adalah standar terbuka (RFC 7519) untuk mentransmisikan informasi secara aman antar pihak sebagai objek JSON. JWT umumnya digunakan untuk autentikasi dan otorisasi dalam aplikasi web. Sebuah JWT terdiri dari tiga bagian: Header (algoritma dan tipe token), Payload (klaim/data), dan Signature (verifikasi).
Apakah aman mendekode JWT di browser?
Ya, mendekode JWT di browser aman karena header dan payload hanya dikodekan dengan Base64URL, bukan dienkripsi. Namun, ingatlah bahwa mendekode TIDAK memverifikasi tanda tangan token. Jangan pernah mempercayai data yang didekode tanpa verifikasi tanda tangan sisi server yang tepat. Alat ini mendekode token sepenuhnya di browser Anda - tidak ada data yang dikirim ke server mana pun.
Apa arti dari bagian-bagian JWT yang berbeda?
JWT memiliki tiga bagian yang dipisahkan oleh titik: 1) Header - Berisi algoritma (alg) dan tipe token (typ), biasanya HS256 atau RS256 untuk penandatanganan. 2) Payload - Berisi klaim, yaitu pernyataan tentang pengguna dan data tambahan seperti waktu kedaluwarsa (exp), waktu diterbitkan (iat), subjek (sub), dll. 3) Signature - Dibuat dengan menandatangani header dan payload dengan kunci rahasia, digunakan untuk memverifikasi bahwa token belum diotak-atik.
Mengapa saya tidak bisa memverifikasi tanda tangan dengan alat ini?
Verifikasi tanda tangan memerlukan kunci rahasia (untuk algoritma simetris seperti HS256) atau kunci publik (untuk algoritma asimetris seperti RS256). Karena alat ini berjalan sepenuhnya di browser Anda demi privasi, ia tidak dapat mengakses kunci rahasia server Anda. Untuk memverifikasi tanda tangan, gunakan pustaka sisi server seperti jsonwebtoken (Node.js), PyJWT (Python), atau jwt-go (Go).
Apa saja klaim JWT yang umum?
Klaim terdaftar yang umum meliputi: iss (issuer), sub (subject), aud (audience), exp (expiration time), nbf (not before), iat (issued at), dan jti (JWT ID). Klaim khusus dapat mencakup user_id, email, peran, izin, atau data spesifik aplikasi lainnya. Klaim berbasis waktu (exp, nbf, iat) adalah timestamp Unix.
Sumber Daya Tambahan
Kutip konten, halaman, atau alat ini sebagai:
"Decoder JWT" di https://MiniWebtool.com/id// dari MiniWebtool, https://MiniWebtool.com/
oleh tim miniwebtool. Diperbarui: 03 Feb 2026