Ada masalah dengan alat ini?
Tentang «Dekode JWT Online»
Alat ini mendekode JSON Web Token (JWT) ke tiga bagian konstituennya: header, payload, dan tanda tangan. Tempel token dari alur autentikasi aplikasi Anda, header Authorization, atau cookie, dan alat mengembalikan konten JSON terurai dari header dan payload bersama dengan byte tanda tangan mentah.
JWT digunakan secara luas untuk autentikasi, manajemen sesi, dan otorisasi API. Mendekode (bukan memverifikasi) mengungkapkan data apa yang dibawa token — ID pengguna, waktu kedaluwarsa, scope, klaim kustom — berguna untuk men-debug masalah autentikasi dan mengonfirmasi apa yang sebenarnya dikirim klien Anda.
Penting: alat ini mendekode tetapi tidak memverifikasi tanda tangan. JWT yang didekode menunjukkan apa yang diklaim penerbit, bukan apakah klaim tersebut otentik. Untuk pemeriksaan keamanan, server Anda harus memverifikasi tanda tangan terhadap kunci publik penerbit.
Cara memakai alat ini
Cara memeriksa header dan payload sebuah JSON Web Token
Tempel JWT
Letakkan token di kolom "Token". JWT berbentuk `xxx.yyy.zzz` — tiga segmen base64url dipisah titik. Alat membelah pada titik dan mendekode dua yang pertama.
Tekan Jalankan
Hasil: `header` (algoritma dan tipe, mis. `{ "alg": "HS256", "typ": "JWT" }`) dan `payload` (klaim Anda — `sub`, `exp`, `iat` + spesifik aplikasi). Segmen ketiga (signature) TIDAK diverifikasi atau ditampilkan.
Yang BUKAN ini
Decode ≠ verifikasi. Siapa pun yang punya token bisa membaca payload; yang membuktikan otentisitas adalah signature, yang butuh kunci. Jangan percayai token tanpa verifikasi — gunakan jwt-encoder atau pustaka auth Anda untuk memverifikasi di server yang Anda kendalikan.
Klaim umum yang patut dicek
`exp` adalah timestamp Unix — token kedaluwarsa jangan diterima walau signature valid. `iss` harus cocok dengan issuer yang Anda harapkan; `aud` harus cocok dengan layanan Anda. Bila payload terlihat oke tetapi auth gagal, masalahnya pada signature, bukan klaim.