Decode JSON Web Token untuk memeriksa header dan payload-nya, dengan waktu kedaluwarsa dan penerbitan yang mudah dibaca. Berjalan sepenuhnya di browser Anda; token tidak pernah diunggah.
Cara menggunakan JWT Decoder
Tempel JWT dalam bentuk header.payload.signature.
Baca header dan payload yang terdekode sebagai JSON terformat.
Periksa waktu kedaluwarsa dan penerbitan, serta apakah token telah kedaluwarsa.
JSON Web Token memiliki tiga bagian yang dipisahkan oleh titik: header yang dikodekan Base64URL, payload yang dikodekan Base64URL, dan tanda tangan. Dekoder ini memisahkan dan mendekodekan dua bagian pertama secara instan di browser Anda, sehingga Anda dapat membaca apa yang sebenarnya berisi sebuah token.
Penggunaan yang paling umum adalah memeriksa token yang dikembalikan API: siapa yang menerbitkannya (iss), kapan kedaluwarsa (exp), izin apa yang dibawanya (scope atau roles), dan apakah sudah kedaluwarsa.
Alat mengambil segmen header dan payload lalu mendekodekan konten Base64URL-nya kembali menjadi JSON yang mudah dibaca. Tidak ada yang dikirim ke mana pun: pemisahan dan pendekodean terjadi secara lokal saat Anda menempel sebuah token.
Kedaluwarsa ditampilkan dalam waktu lokal yang mudah dibaca, bukan Unix timestamp mentah, sehingga Anda dapat melihat sekilas apakah token masih valid. Hal yang sama berlaku untuk klaim waktu lainnya seperti iat dan nbf, yang menjadi tanggal yang benar-benar dapat Anda tafsirkan.
Alat ini mendekode dan menampilkan, ia tidak memverifikasi tanda tangan terhadap kunci rahasia. Siapa pun dapat membaca payload JWT tanpa kunci, karena hanya tanda tangan yang dilindungi, bukan isinya.
Untuk verifikasi tanda tangan Anda membutuhkan rahasia penanda tangan atau kunci publik, yang tidak boleh pernah dimasukkan ke alat berbasis browser. Jangan menempelkan rahasia di sini.
Token tidak pernah meninggalkan perangkat Anda. Semua pendekodean berjalan di browser Anda, sehingga tidak ada yang Anda tempel diunggah atau disimpan.
Pertanyaan yang sering diajukan
Tidak. Alat ini mendekode dan menampilkan header dan payload. Memverifikasi tanda tangan membutuhkan secret penandatanganan atau kunci publik, yang tidak boleh Anda tempel ke alat web mana pun.
Decode membaca header dan payload Base64url, yang tidak dienkripsi. Verifikasi menghitung ulang tanda tangan dengan kunci untuk membuktikan token asli dan tidak diubah.
Decode terjadi sepenuhnya di browser Anda, sehingga token tidak diunggah. Meski begitu, perlakukan token aktif sebagai rahasia dan hindari menempelkannya di komputer bersama.
Ini adalah klaim standar: iat adalah waktu diterbitkan, nbf adalah tidak valid sebelum, dan exp adalah waktu kedaluwarsa. Dekoder mengonversi stempel waktu Unix ini menjadi waktu lokal yang mudah dibaca.
Ya. Kedaluwarsa tidak mengubah cara token didekode, sehingga Anda dapat memeriksa klaim token yang kedaluwarsa dan melihat persis kapan token itu kedaluwarsa.
JWT ditandatangani, bukan dienkripsi. Payload hanya di-encode Base64url, sehingga siapa pun dapat membacanya. Jangan pernah menaruh rahasia di payload JWT.
Sematkan tool ini
Tambahkan tool ini ke situs web Anda sendiri. Salin cuplikan di bawah; cuplikan ini tetap terbarui secara otomatis.
<iframe src="https://monu.tools/embed/id/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Alat terkait
Encode teks ke Base64 atau decode Base64 kembali ke teks. Aman untuk UTF-8 dengan deteksi arah otomatis.
Lakukan percent-encode dan decode pada URL dan komponen URL, aman untuk UTF-8.
Hasilkan hash SHA-1, SHA-256, SHA-384, dan SHA-512 dari teks apa pun, langsung di browser Anda.
Buat HMAC untuk pesan dan kunci rahasia menggunakan SHA-1, SHA-256, SHA-384, atau SHA-512, di peramban Anda.