T

Text Machine

Alat teks andal, di browser Anda

Dekoder JWT

Dekode JSON Web Token apa pun untuk memeriksa header, payload, dan klaimnya dalam bentuk yang mudah dibaca — dan secara opsional memverifikasi tanda tangan HMAC (HS256/384/512). Semuanya tetap di browser Anda.

Token terenkode

Cara menggunakan Dekoder JWT

  1. 1

    Tempel token Anda

    Tempel JSON Web Token terenkode ke bidang input. Dekoder secara otomatis memecahnya menjadi header, payload, dan tanda tangan.

  2. 2

    Baca klaimnya

    Periksa header dan payload yang sudah didekode sebagai JSON terformat, dan tinjau klaim terdaftar seperti waktu kedaluwarsa dan waktu penerbitan yang ditampilkan sebagai tanggal yang mudah dibaca.

  3. 3

    Verifikasi tanda tangan

    Untuk token HMAC, masukkan secret penandatanganan untuk memastikan tanda tangan valid dan token belum dirusak.

  4. 4

    Salin yang Anda butuhkan

    Salin JSON header atau payload yang terformat ke papan klip Anda untuk dipakai dalam pengujian, dokumentasi, atau debugging.

Pertanyaan yang sering diajukan

Apa itu JSON Web Token (JWT)?
JSON Web Token adalah cara yang ringkas dan aman untuk URL untuk merepresentasikan klaim antara dua pihak. Token ini memiliki tiga bagian yang dienkode Base64URL — header, payload, dan tanda tangan — yang dipisahkan oleh titik, dan digunakan secara luas untuk autentikasi dan otorisasi pada web API.
Apakah mendekode JWT mengungkap kata sandi atau secret?
Tidak. Header dan payload hanya dienkode Base64URL, bukan dienkripsi, sehingga siapa pun bisa membacanya — itulah sebabnya Anda tidak boleh menyimpan data sensitif di dalam token. Secret penandatanganan itu sendiri tidak pernah menjadi bagian dari token dan tidak dapat dipulihkan dengan mendekodenya.
Bagaimana verifikasi tanda tangan bekerja di sini?
Untuk algoritme HMAC (HS256, HS384, HS512), alat ini menghitung ulang tanda tangan dari header, payload, dan secret yang Anda berikan menggunakan Web Crypto API bawaan browser Anda, lalu membandingkannya dengan tanda tangan token. Algoritme asimetris seperti RS256 dan ES256 memerlukan kunci publik sehingga hanya didekode, bukan diverifikasi.
Apa arti klaim exp dan iat?
exp (waktu kedaluwarsa) dan iat (waktu penerbitan) adalah klaim terdaftar yang disimpan sebagai Unix timestamp dalam detik. Dekoder ini mengubahnya menjadi tanggal yang mudah dibaca dan menunjukkan apakah token sedang aktif, belum berlaku, atau sudah kedaluwarsa berdasarkan jam perangkat Anda.
Apakah token saya dikirim ke server?
Tidak. Pendekodean dan verifikasi tanda tangan berjalan sepenuhnya di browser Anda. Token dan secret Anda tidak pernah diunggah, dicatat, atau disimpan, sehingga bahkan token produksi pun tetap sepenuhnya privat.

Alat terkait

Lanjutkan dengan alat praktis ini

URL Encoder / Decoder

Enkode / Dekode Base64

Konverter HTML ke Teks

Pemformat JSON

Penguji Regex

Generator Gradien CSS