Dekoder JWT
Header, payload, dan kedaluwarsa didekodekan secara offline — token tidak pernah meninggalkan browser Anda.
Signature (base64url — verify server-side)
Tempelkan token, lihat semuanya: header dan payload yang didekodekan, setiap klaim waktu dikonversi ke zona waktu lokal Anda dengan usia relatif, lencana EXPIRED yang tidak dapat dilewatkan, dan peringatan keamanan jika token menggunakan algoritma none yang berbahaya. Penguraian kode terjadi sepenuhnya di perangkat Anda — buka DevTools dan lihat: tidak ada permintaan jaringan. Menguji API milik token tersebut? Pengonversi cURL ke Kode kami ada di sebelahnya.
Pertanyaan yang Sering Diajukan
Apakah aman menempelkan JWT asli di sini?
Token didekodekan seluruhnya di browser Anda — tidak ada permintaan jaringan yang dibuat, tidak ada yang dicatat atau disimpan, dan halaman berfungsi offline setelah dimuat. Oleh karena itu, perlakukan token produksi seperti kata sandi sebagai kebiasaan: lebih memilih token yang kedaluwarsa atau token pementasan saat melakukan debug di alat online apa pun.
Apa sebenarnya yang ada di dalam JWT?
Tiga bagian url base64 dipisahkan oleh titik: header (algoritma + jenis), payload (klaim Anda — id pengguna, peran, masa berlaku), dan tanda tangan. Dua yang pertama hanya dikodekan, TIDAK dienkripsi — siapa pun yang memiliki token dapat membacanya, dan itulah yang ditampilkan dekoder ini.
Apakah ini memverifikasi tanda tangan?
Tidak — verifikasi memerlukan kunci rahasia atau publik, yang tidak boleh ditempelkan ke halaman web. Alat ini menerjemahkan dan memeriksa klaim (debug 95%); verifikasi tanda tangan di sisi server dengan pustaka JWT kerangka kerja Anda.
Mengapa alg=none ditandai dengan warna merah?
Serangan "tidak ada algoritma" yang terkenal: beberapa perpustakaan lama menerima token yang tidak ditandatangani jika header mengklaim tidak ada, membiarkan penyerang memalsukan identitas apa pun. Server harus langsung menolak token tersebut — bendera merah mengingatkan Anda untuk memeriksa apakah token Anda benar.
Apa yang dimaksud dengan exp, iat dan nbf?
Stempel waktu Unix yang mengatur validitas: iat = saat diterbitkan, nbf = tidak valid sebelumnya, exp = kedaluwarsa. Decoder mengonversi setiap waktu ke waktu lokal Anda dengan deskripsi relatif ("2 jam yang lalu") dan menampilkan lencana EXPIRED yang jelas bila relevan.