Generator JWT

Selamat datang di Generator JWT, alat online gratis dan cepat untuk membuat JSON Web Token bertanda tangan. Baik Anda sedang menguji alur autentikasi, membangun API, melakukan debugging integrasi, atau mempelajari cara kerja JWT di balik layar, generator ini memberi Anda kontrol penuh atas header token, klaim payload, dan algoritma penandatanganan HMAC. Hasilkan token HS256, HS384, atau HS512 yang valid dalam satu klik dan periksa setiap segmen secara berdampingan.

Apa Itu JSON Web Token?

JSON Web Token (JWT) adalah format kredensial yang ringkas dan aman untuk URL yang didefinisikan oleh RFC 7519. JWT membawa klaim tentang subjek antara dua pihak dan membuktikan integritasnya melalui tanda tangan kriptografis. Karena token ini mandiri (self-contained), penerima dapat memvalidasinya tanpa harus memanggil kembali penerbit — properti yang menjadikan JWT sebagai tulang punggung autentikasi stateless untuk aplikasi web dan seluler modern.

Setiap JWT dibangun dari tiga bagian berenkode base64url yang digabungkan dengan titik:

• Header — objek JSON yang menyatakan tipe token (typ) dan algoritma penandatanganan (alg).
• Payload — objek JSON yang menampung klaim, seperti id pengguna, waktu kadaluwarsa, dan data kustom lainnya.
• Signature — tanda tangan HMAC atau RSA atas header dan payload berenkode yang melindunginya dari modifikasi.

Cara Kerja Generator JWT

Alat ini mengikuti resep penandatanganan JWT yang tepat dari RFC 7519 §7.1:

1. Serialisasi JSON header ke bentuk ringkasnya (tanpa spasi) dan enkode dengan base64url.
2. Lakukan hal yang sama untuk JSON payload.
3. Gabungkan keduanya dengan pemisah titik. Ini adalah input penandatanganan.
4. Hitung HMAC dari input penandatanganan menggunakan rahasia Anda dan algoritma SHA-2 yang dipilih.
5. Enkode byte tanda tangan yang dihasilkan dengan base64url.
6. Gabungkan semuanya sebagai header.payload.signature.

Apa yang Membuat Generator Ini Berbeda

• Visualisasi warna tiga segmen — header (merah mawar), payload (ungu), tanda tangan (sian) sehingga Anda dapat mengenali setiap bagian secara instan.
• Palet Klaim Cepat — penyisipan satu klik untuk iss, sub, aud, iat, nbf, dan jti.
• Pembantu kadaluwarsa — tombol preset untuk 1 jam, 1 hari, 7 hari, atau 30 hari yang menghitung stempel waktu Unix yang benar secara otomatis.
• Pratinjau token langsung — header dan payload berenkode diperbarui saat Anda mengetik sehingga Anda dapat melihat bagaimana setiap pengeditan mengubah token.
• Sinkronisasi header cerdas — beralih algoritma memperbarui kolom alg pada header secara otomatis.
• Toggle rahasia Base64 — jika rahasia Anda disimpan sebagai base64 (konvensi JWS untuk kunci biner), aktifkan opsi ini dan alat akan mendeskripsikannya sebelum menandatangani.
• Tombol salin per segmen — salin header, payload, tanda tangan, atau token lengkap secara independen.
• Ringkasan klaim — klaim standar yang dikenali terdaftar dengan deskripsi dan stempel waktu yang dapat dibaca manusia jika berlaku.

Memilih Algoritma yang Tepat

Tiga varian HMAC yang didukung alat ini secara fungsional identik kecuali untuk hash SHA-2 yang mendasarinya dan panjang tanda tangan:

• HS256 — HMAC dengan SHA-256. Tanda tangan 256-bit. Default untuk hampir setiap pustaka penerbit JWT dan pilihan yang paling banyak didukung.
• HS384 — HMAC dengan SHA-384. Tanda tangan 384-bit. Margin yang sedikit lebih besar terhadap kriptanalisis di masa depan.
• HS512 — HMAC dengan SHA-512. Tanda tangan 512-bit. Berguna ketika kebijakan memerlukan hash standar terpanjang.

Ketiganya mengandalkan rahasia bersama yang dipegang oleh penandatangan dan pemverifikasi. RFC 7518 §3.2 mensyaratkan kunci minimal sepanjang output hash: 256 bit untuk HS256, 384 bit untuk HS384, 512 bit untuk HS512.

Klaim Terdaftar Standar

RFC 7519 §4.1 mendefinisikan sekumpulan kecil klaim standar yang harus dikenali oleh penerbit dan pemverifikasi JWT. Semuanya opsional tetapi didukung secara luas:

• iss (penerbit) — mengidentifikasi siapa yang membuat token. Seringkali berupa URL atau nama layanan.
• sub (subjek) — mengidentifikasi tentang siapa token tersebut, biasanya id pengguna.
• aud (audiens) — mengidentifikasi penerima yang dituju untuk token tersebut. Bisa berupa string tunggal atau array.
• exp (waktu kadaluwarsa) — stempel waktu Unix setelah itu token harus ditolak.
• nbf (bukan sebelum) — stempel waktu Unix sebelum itu token tidak boleh diterima.
• iat (diterbitkan pada) — stempel waktu Unix yang mencatat kapan token dibuat.
• jti (JWT ID) — pengidentifikasi unik yang memungkinkan token dicabut atau dilacak secara individual.

Cara Menggunakan Alat Ini

1. Pilih algoritma penandatanganan — klik HS256, HS384, atau HS512. Header diperbarui secara otomatis agar sesuai.
2. Edit header (opsional) — header default berisi alg dan typ. Tambahkan kid (key id) kustom jika pemverifikasi Anda membutuhkannya.
3. Bangun payload — ketik klaim Anda sebagai JSON atau klik tombol Klaim Cepat untuk memasukkan kolom standar. Pembantu kadaluwarsa menulis stempel waktu Unix yang benar untuk durasi relatif yang Anda pilih.
4. Atur rahasia — masukkan rahasia bersama HMAC Anda. Klik ikon mata untuk melihatnya. Jika rahasia Anda berenkode base64, aktifkan kotak centang agar alat mendekodenya sebelum menandatangani.
5. Hasilkan JWT — klik Hasilkan JWT. Token lengkap, tiga kartu segmen, diagram struktur, dan ringkasan klaim yang dikenali akan dirender bersama.
6. Salin yang Anda butuhkan — gunakan tombol Salin per segmen atau tombol Salin Token untuk membawa nilai berenkode ke Postman, curl, atau aplikasi klien Anda.

Kasus Penggunaan Umum

Autentikasi dan Otorisasi

• Menerbitkan token akses setelah login berhasil.
• Mengenkode identitas pengguna (sub) plus klaim peran atau izin.
• Menandatangani token berumur pendek (15–60 menit) dan menyegarkannya sesuai kebutuhan.

Pengujian Integrasi API

• Membangun token tiruan untuk menguji bagaimana API Anda merespons klaim yang kedaluwarsa, bertanggal masa depan, atau cacat.
• Menghasilkan JWT perlengkapan untuk pengujian unit dan pipeline CI.
• Mereproduksi token seperti produksi di lingkungan lokal tanpa harus mengakses server autentikasi asli.

Debugging Single Sign-On (SSO)

• Membandingkan JWT yang sudah diketahui baik dengan yang dikirim oleh penyedia Anda untuk menemukan penyimpangan spesifikasi.
• Memeriksa algoritma penandatanganan dan id kunci (kid) yang digunakan oleh penerbit hulu.

Pertanyaan yang Sering Diajukan

Apakah JWT yang dibuat di sini merupakan token yang asli dan valid?

Ya. Token ditandatangani dengan HMAC atas header dan payload berenkode kanonik. Pustaka JWT apa pun yang menggunakan rahasia yang sama dengan Anda akan memvalidasinya dengan sukses.

Mengapa token saya terlihat identik dengan yang saya hasilkan di tempat lain?

Karena JWT bersifat deterministik: dengan header, payload, dan rahasia yang sama, setiap pustaka yang patuh akan menghasilkan string yang persis sama. Jika Anda melihat perbedaan, periksa apakah urutan serialisasi JSON, ejaan kunci, dan enkoding rahasia semuanya cocok.

Dapatkah saya mendekode JWT untuk memverifikasi apa yang saya hasilkan?

Ya. Pasangkan alat ini dengan dekoder JWT untuk memeriksa segmen tersebut. Dekoding hanya membalikkan langkah base64url — memverifikasi tanda tangan tetap memerlukan kunci rahasia.

Mengapa rahasia saya ditolak karena terlalu pendek?

RFC 7518 merekomendasikan kunci minimal sepanjang panjang output hash: 256 bit untuk HS256. Alat ini sendiri tidak memaksakan minimum, tetapi pemverifikasi yang berperilaku baik mungkin menolak kunci yang pendek. Gunakan rahasia 32+ byte yang dihasilkan secara acak dalam penggunaan nyata.

Apakah alat ini mendukung RS256, ES256, atau EdDSA?

Belum — alat ini berfokus pada algoritma berbasis HMAC karena hanya membutuhkan string bersama. Algoritma asimetris (RS*, PS*, ES*, EdDSA) memerlukan pasangan kunci dan penanganan PEM yang lebih cocok untuk alat khusus.

Apakah rahasia dan payload saya dikirim ke server?

Formulir dikirimkan melalui HTTPS untuk menghitung tanda tangan. Tidak ada yang dicatat atau disimpan di luar masa aktif permintaan. Namun demikian, jangan masukkan rahasia produksi di sini — perlakukan ini sebagai lingkungan pengujian publik.

Sumber Daya Tambahan

• RFC 7519 - JSON Web Token (JWT)
• RFC 7515 - JSON Web Signature (JWS)
• RFC 7518 - JSON Web Algorithms (JWA)
• JSON Web Token - Wikipedia