JWT decoder
Periksa token sebelum mengejar bug auth yang salah. Decode header, claim, algoritma, signature, dan status kedaluwarsa.
Token encoded
Output decoded
Apa itu JWT?
JSON Web Token adalah format ringkas untuk membawa claim antar sistem. Saat debug harian, pertanyaannya biasanya sederhana: siapa penerbit token, untuk siapa token dibuat, izin apa yang diklaim, algoritma apa yang menandatanganinya, dan apakah token sudah kedaluwarsa?
Header
Menampilkan metadata token seperti typ, alg, dan kadang kid yang menunjuk key dari issuer.
Payload
Berisi claim seperti sub, iss, aud, exp, iat, roles, tenant ID, atau data otorisasi khusus aplikasi.
Signature
Melindungi token dari perubahan saat server memverifikasinya dengan secret atau public key yang diharapkan.
Kedaluwarsa
Claim exp sering menjadi petunjuk tercepat saat debug auth. Token yang valid secara format tetap tidak berguna jika sudah melewati masa berlaku.
FAQ JWT
Apakah JWT dienkripsi?
Biasanya tidak. JWT standar di-encode, bukan dienkripsi, sehingga siapa pun yang memegang token bisa melihat header dan payload. Signature hanya melindungi integritas.
Apakah decode JWT membuktikan token tepercaya?
Tidak. Decode hanya membuka isi token. Kepercayaan membutuhkan verifikasi signature terhadap secret atau public key yang benar, plus pengecekan issuer, audience, masa berlaku, dan aturan aplikasi.
Apa yang terjadi saat token kedaluwarsa?
Jika claim exp sudah lewat, server seharusnya menolak token dan client harus login ulang atau meminta access token baru melalui refresh flow yang benar.
Bolehkah menempel token produksi ke decoder?
Perlakukan token live seperti kredensial. Gunakan token test berumur pendek jika memungkinkan, dan hindari menempel access token produksi yang sensitif ke tool yang tidak Anda kendalikan.