Decoder JWT

Decoding JWT (JSON Web Token) adalah hal yang saya lakukan hampir setiap hari saat debugging masalah autentikasi, memeriksa token API, atau troubleshooting integrasi SSO. Ketika user melaporkan error 'access denied', hal pertama yang saya lakukan adalah decode JWT mereka untuk mengecek waktu kadaluarsa, roles, dan claims. Tool ini men-decode JWT secara instan tanpa mengirim token ke server manapun—sangat penting saat menangani token akses produksi atau kredensial customer. Tool ini memisahkan token menjadi tiga bagian (header, payload, signature), Base64-decode dua bagian pertama, dan menampilkan konten JSON dalam format yang mudah dibaca. Signature ditampilkan tapi tidak diverifikasi—ini adalah tool inspeksi, bukan validator. Sempurna untuk developer yang mengintegrasikan OAuth2, debugging token Auth0/Cognito, atau memahami cara kerja autentikasi berbasis JWT. ### Struktur JWT JWT mengandung 3 bagian yang dipisahkan oleh titik (.): - **Header** - Berisi tipe token dan algoritma signing (misal HS256, RS256) - **Payload (claims)** - Berisi data aktual dan claims - **Signature** - Memverifikasi bahwa token tidak diubah Decoder membantu developer melihat konten payload dengan cepat untuk keperluan debugging seperti melihat roles/permissions, mengecek kadaluarsa token, memverifikasi informasi issuer, mengecek API scope, dan validasi struktur token saat implementasi auth. ### Kasus Penggunaan **1. Debug Token dari Authentication Provider** - Firebase Auth - Auth0 - AWS Cognito - Supabase - Keycloak **2. Frontend Development** Cek: - Apakah claim role=admin ada? - Apakah token expired saat user komplain? - Apakah struktur token sudah benar? **3. Backend Development** Validasi payload sebelum menulis verifikasi di backend. **4. QA / Testing** Cek token API saat testing API. **5. Security Review (Inspeksi Cepat)** Cek algoritma signature (alg) untuk keamanan: - HS256, RS256, ES256 → ✓ Aman - NONE → ⚠️ Tidak Aman **6. Debugging OAuth 2.0 / OpenID Connect** Lihat: - `iss` - Issuer - `aud` - Audience - `exp` - Expiration - `nonce` - Pencegahan replay attack - `azp` - Authorized party

Cara Menggunakan

Paste token JWT (format: xxxxx.yyyyy.zzzzz) ke input field. Tool secara otomatis memisahkannya menjadi section header, payload, dan signature. Header menunjukkan algoritma (HS256, RS256, dll) dan tipe token. Payload menampilkan claims seperti user ID (sub), expiration (exp), issued at (iat), issuer (iss), dan custom claims yang ditambahkan aplikasi Anda. Waktu expiration adalah Unix timestamp—tool bisa mengkonversi ke tanggal yang mudah dibaca. Gunakan ini saat API mengembalikan error 401 untuk mengecek apakah token expired, saat debugging authorization untuk memverifikasi claim role/permission ada, atau saat belajar struktur JWT. ### Cara Menggunakan 1. Salin token JWT Anda 2. Paste di input field 3. Tool otomatis memisahkan header, payload, dan signature 4. Lihat hasil decode: JSON + breakdown claim 5. Gunakan tombol copy/export jika diperlukan

Kasus Penggunaan Umum

Keterbatasan & Catatan Penting

⚠️ **Penting**: Tool ini hanya men-decode token, TIDAK memverifikasi signature! Tool ini HANYA men-decode JWT—TIDAK memverifikasi signature atau validasi token. Token yang di-decode menunjukkan claims valid bukan berarti token itu asli; attacker bisa membuat token dengan false claims. Selalu verifikasi signature di server-side menggunakan secret key atau public key Anda (untuk RS256). Tool ini bekerja dengan format JWT standar (header.payload.signature dalam Base64URL encoding). Tidak menangani encrypted JWT (JWE) atau nested token. Jika token Anda termasuk binary data atau encoding non-standar, decoding mungkin gagal. Untuk validasi token otomatis dalam code, gunakan JWT library yang proper seperti jsonwebtoken (Node.js), PyJWT (Python), atau jose4j (Java). Catatan keamanan: Jangan paste token produksi yang sensitif ke online tools yang tidak Anda percaya—tool ini berjalan client-side, tapi selalu verifikasi di DevTools Network tab bahwa tidak ada yang di-upload.