Dekoder & Verifikator JWT

Cara Kerja

JSON Web Token (JWT) adalah cara kompak dan aman-URL untuk mentransfer klaim yang ditandatangani antar pihak, didefinisikan dalam RFC 7519. JWT terdiri dari tiga bagian yang dikodekan base64url yang dipisahkan oleh titik: header, payload, dan tanda tangan. Alat ini mendekode setiap bagian dari base64url, menguraikannya sebagai JSON, dan menampilkan bidang header (alg, typ, kid), klaim payload (iss, sub, aud, iat, exp, nbf, dan kustom) serta interpretasi yang dapat dibaca manusia. Stempel waktu (iat, exp, nbf) dikonversi secara otomatis ke tanggal ISO dan ditandai apakah token telah kedaluwarsa atau masih aktif. Dekode berbeda dari verifikasi: siapa pun dapat membaca apa yang ada di dalam setelah token ditandatangani, tetapi hanya pemegang kunci yang dapat mengonfirmasi bahwa itu tidak palsu. Alat ini menggunakan Web Crypto API untuk memverifikasi tanda tangan HS256/384/512 (HMAC-SHA dengan rahasia bersama), RS256/384/512 (RSASSA-PKCS1-v1_5 dengan kunci publik dalam format PEM atau JWK), ES256/384 (ECDSA P-256/P-384), dan EdDSA (Ed25519). Semuanya berjalan secara lokal: token, rahasia, atau kunci tidak dikirim ke server mana pun, yang membuat alat ini aman untuk men-debug token produksi yang tidak ingin Anda tempelkan ke situs pihak ketiga.

Kasus Penggunaan

• Debug mengapa API Anda menolak token yang tampak valid
• Verifikasi bahwa penyedia autentikasi Anda mengeluarkan klaim yang diharapkan (issuer, audience, scopes)
• Verifikasi tanda tangan token pada mesin lokal menggunakan kunci publik atau rahasia bersama
• Ajari pengembang tentang struktur JWT dan pemetaan klaim
• Hindari menempelkan payload sensitif ke situs pihak ketiga