JWT Decoder
Periksa JSON Web Tokens (JWT) untuk memahami isinya. Decode JWT apa pun menjadi tiga bagian penyusunnya: header (algoritma dan tipe token), payload (klaim dan data), dan signature. Lihat timestamp dalam format yang mudah dibaca manusia dan verifikasi struktur token. Berguna untuk debugging alur autentikasi, memahami token API, dan memverifikasi klaim JWT selama pengembangan.
Apa yang dilakukan alat ini?
JWT Decoder menguraikan dan menampilkan isi JSON Web Tokens tanpa memverifikasi signature (yang memerlukan kunci publik penerbit). Alat ini memisahkan tiga komponen base64url yang dipisahkan titik, decode setiap bagian ke JSON, dan menampilkannya dalam format yang mudah dibaca. Klaim JWT standar (expiry, issued-at, not-before) disorot dengan timestamp yang mudah dibaca manusia. Alat ini memvalidasi struktur JWT dan melaporkan token yang tidak valid dengan informasi error spesifik.
Cara kerjanya
JWT terdiri dari tiga bagian yang dipisahkan titik: header.payload.signature. Setiap bagian di-encode menggunakan base64url (base64 yang aman untuk URL). Alat ini memisahkan berdasarkan titik, decode setiap bagian menggunakan decode base64url (mengubah - menjadi +, _ menjadi /, dan menambahkan padding), lalu parse sebagai JSON. Header biasanya berisi alg (algoritma) dan typ (tipe). Payload berisi klaim seperti sub (subjek), iss (penerbit), exp (kadaluarsa), iat (diterbitkan pada). Signature ditampilkan sebagai base64 tanpa verifikasi. Timestamp dikonversi ke tampilan lokal dan UTC.
Fitur
- Decode bagian header, payload, dan signature
- Pretty-print JSON yang di-decode
- Sorot expiry (exp), issued-at (iat), not-before (nbf) dengan waktu yang mudah dibaca manusia
- Mendeteksi JWT yang tidak valid dengan pesan error yang membantu
- 100% sisi klien — token Anda tidak pernah meninggalkan browser
- Memvalidasi struktur JWT standar
- Salin bagian yang di-decode secara individual
Cara menggunakan
- 1
Tempel JWT Anda
Masukkan token (format: eyJ...xxxxx.yyyyy.zzzzz). Tiga bagian yang dipisahkan titik. Kebanyakan JWT dimulai dengan 'eyJ' dalam base64url.
- 2
Tinjau bagian yang di-decode
Header menampilkan algoritma (HS256, RS256, dll.) dan tipe. Payload menampilkan semua klaim dan data. Signature ditampilkan sebagai base64.
- 3
Periksa timestamp
exp (kadaluarsa), iat (diterbitkan pada), nbf (tidak sebelum) ditampilkan sebagai timestamp Unix dan tanggal yang mudah dibaca manusia dengan waktu relatif.
- 4
Verifikasi struktur
Jika JWT tidak valid, Anda akan melihat error spesifik yang menunjukkan bagian mana yang gagal decode atau parse.
Kasus penggunaan umum
Debug masalah autentikasi
Periksa JWT dari alur OAuth, sistem SSO, atau autentikasi kustom untuk memverifikasi klaim, memeriksa kadaluarsa, dan debug kegagalan validasi token.
Pengembangan API
Decode token yang diterima API Anda untuk memahami strukturnya, memverifikasi klaim yang Anda periksa, dan debug logika otorisasi.
Pelajari struktur JWT
Periksa JWT nyata untuk memahami bagaimana mereka dibangun, bagaimana klaim standar terlihat, dan bagaimana algoritma berbeda ditentukan.
Pemantauan kadaluarsa token
Cek kapan token kadaluarsa dengan cepat tanpa menulis kode, berguna untuk pengujian API manual dengan token yang memiliki umur terbatas.
Tips & praktik terbaik
- Alat ini hanya melakukan decode — tidak memverifikasi signature. Siapapun dapat membuat JWT dengan payload apa pun. Untuk keamanan, aplikasi Anda harus memverifikasi signature menggunakan kunci publik penerbit
- exp (expiration) dalam detik Unix. Jika exp berada di masa lalu, token telah kadaluarsa dan harus ditolak
- Algoritma umum: HS256 (HMAC dengan SHA-256, simetris), RS256 (tanda tangan RSA, asimetris), ES256 (tanda tangan ECDSA)
- Jangan pernah mempercayai isi JWT yang tidak diverifikasi untuk keputusan keamanan — selalu verifikasi signature secara kriptografis