Handytool
Panduan pengembangBaca 5 mntDiperbarui 24 Feb 2026

Utilitas Dev Instan

Uraikan JWT Apa Pun dan Inspeksi Klaim-klaimnya Secara Instan

Dekoder JWT Handytool membagi JSON Web Token apa pun menjadi header, payload, dan klaim-klaimnya — dengan pemeriksaan kadaluarsa dan stempel waktu yang dapat dibaca manusia — semuanya di browser Anda, tidak pernah menyentuh server.

Buka Pembuat dekode JWTSemua artikel

Poin penting

  • 01Uraikan JWT apa pun dan inspeksi header, payload, dan klaim standar dalam satu tempel.
  • 02Klaim exp, nbf, dan iat dikonversi ke stempel waktu yang dapat dibaca manusia dengan tag valid/kadaluarsa.
  • 03Penguraian murni lokal — aman untuk menempel token produksi nyata saat men-debug.
  • 04Dekoder tidak memverifikasi tanda tangan — itu harus terjadi sisi server dengan kunci penerbit.

Mengapa Anda Memerlukan Dekoder JWT

JSON Web Token terlihat seperti kebisingan acak sampai Anda tahu mereka tiga segmen yang dikodekan Base64URL dipisahkan oleh titik. Segmen pertama adalah header (algoritma dan tipe token), yang kedua adalah payload (klaim: ID pengguna, peran, kadaluarsa), dan yang ketiga adalah tanda tangan. Saat men-debug masalah autentikasi, sesi yang kadaluarsa, atau integrasi OAuth yang rusak, hal pertama yang perlu Anda lakukan adalah membaca payload.

Melakukan itu dengan tangan berarti memisahkan pada titik, menguraikan Base64URL, dan kemudian mengonversi stempel waktu Unix ke tanggal yang dapat dibaca. Dekoder JWT Handytool melakukan semua itu secara otomatis dan menambahkan tag validitas pada klaim waktu sehingga Anda dapat melihat sekilas apakah token masih aktif.

Cara Menguraikan Token JWT

  1. 01

    Salin JWT

    Ambil token dari DevTools browser Anda (Application > Cookies, atau panel Network Authorization header), dari file log, atau dari klien API Anda.

  2. 02

    Tempel ke dalam dekoder

    Tempel token lengkap — termasuk ketiga segmen yang dipisahkan oleh titik — ke dalam kotak input. Dekoder mengidentifikasi segmen secara otomatis.

  3. 03

    Baca header dan payload

    Alat membagi token dan pretty-print header (algoritma, tipe) dan payload (semua klaim) sebagai JSON yang diformat.

  4. 04

    Periksa klaim waktu

    Stempel waktu Unix exp (kadaluarsa), nbf (tidak-sebelum), dan iat (diterbitkan-pada) dikonversi ke tanggal ISO. Dekoder menandai exp sebagai hijau (valid) atau merah (kadaluarsa) relatif terhadap waktu lokal Anda saat ini.

Klaim JWT Standar Dijelaskan

Nama klaim terdaftar ini muncul dalam sebagian besar JWT.

  • 01iss (Issuer) — mengidentifikasi siapa yang membuat token, biasanya URL atau nama layanan.
  • 02sub (Subject) — principal yang diwakili token, biasanya ID pengguna.
  • 03aud (Audience) — penerima yang dimaksudkan dari token; server Anda harus menolak token yang dimaksudkan untuk orang lain.
  • 04exp (Expiration) — stempel waktu Unix setelah itu token harus ditolak.
  • 05nbf (Not Before) — stempel waktu Unix sebelum itu token harus ditolak.
  • 06iat (Issued At) — stempel waktu Unix ketika token dibuat; berguna untuk mendeteksi token basi.

Aman untuk Menempel Token Nyata Saat Men-debug

Penguraian JWT terjadi sepenuhnya di browser Anda menggunakan fungsi atob asli dan JSON.parse. Tidak ada yang dikirim ke server mana pun — token Anda diuraikan dalam memori dan ditampilkan secara lokal. Anda dapat dengan aman menempel token akses nyata dan token sesi dari lingkungan pengembangan atau pementasan untuk men-debug alur autentikasi.

Artinya, perlakukan JWT seperti kata sandi. Mereka memberikan akses ke sistem Anda untuk seumur hidup penuh. Jangan menempel token produksi dari akun hak istimewa tinggi ke alat apa pun kecuali Anda yakin dengan jaminan privasi alat — dan selalu putar token jika Anda percaya itu mungkin telah terbuka.

FAQ Dekoder JWT

Apa itu JWT?

JSON Web Token adalah format kompak dan aman URL yang terdiri dari tiga segmen Base64URL (header, payload, signature) dipisahkan oleh titik. JWT membawa klaim — penegasan tentang pengguna atau sesi — dan digunakan untuk autentikasi, otorisasi, dan akses API.

Apakah dekoder ini memverifikasi tanda tangan JWT?

Tidak. Dekoder hanya menguraikan header dan payload. Verifikasi tanda tangan memerlukan kunci rahasia atau publik penerbit dan harus terjadi dalam kode aplikasi Anda menggunakan perpustakaan terpercaya.

Apakah aman untuk menempel token akses nyata di sini?

Penguraian sepenuhnya lokal — token tidak pernah dikirim. Namun, JWT memberikan akses nyata, jadi perlakukan seperti kata sandi. Jangan bagikan, jangan komit ke kontrol sumber, dan putar jika mungkin telah terbuka.

Apa yang dimaksud dengan klaim exp?

exp adalah stempel waktu kadaluarsa — integer Unix yang mewakili momen token berhenti berlaku. Dekoder mengonversinya ke tanggal ISO yang dapat dibaca manusia dan menandainya valid atau kadaluarsa relatif terhadap waktu lokal Anda saat ini.

Mengapa payload JWT terlihat tanpa kunci?

Payload JWT dikodekan Base64URL, bukan dienkripsi. Mereka dirancang untuk dapat dibaca — tanda tangan hanya membuktikan keaslian, bukan kerahasiaan. Jangan pernah menempatkan data benar-benar rahasia dalam payload JWT kecuali Anda menggunakan JSON Web Encryption (JWE).

Apakah dekodernya gratis?

Ya. Handytool gratis tanpa mendaftar, tanpa batas tarif, dan tanpa pengumpulan data.

Alat terkait

Lanjutkan bekerja dengan alat Utilitas

Alat Utilitas