Decode, inspect, dan verifikasi JSON Web Token — header, payload, claims, dan
signature.
token.jwt
💡 Secret key tidak wajib.
Token tetap bisa di-decode tanpa secret. Secret hanya untuk verifikasi signature HS256/HS384/HS512.
Coba sample:
Header—
{ }
Decode token untuk melihat header
Payload
{ }
Decode token untuk melihat payload
Signature
🔐
Decode token untuk melihat signature
Raw (Base64URL)
Hex
Registered Claims
Total Panjang
—
Algoritma
—
Tipe Token
—
Header
—
Payload
—
Signature
—
FAQ
JWT Decoder — KakAlvin Tools
JWT adalah format token standar terbuka (RFC 7519) yang digunakan untuk mengirim informasi antar sistem secara aman dalam bentuk JSON. Token terdiri dari tiga bagian yang dipisahkan titik: Header (algoritma & tipe token), Payload (data/claims), dan Signature (verifikasi keaslian). JWT banyak digunakan untuk autentikasi API, session management, dan SSO (Single Sign-On).
Decode hanya membaca isi JWT — mengubah bagian Header dan Payload dari Base64URL menjadi JSON yang bisa dibaca. Siapa pun bisa decode JWT tanpa secret key. Verify adalah langkah lebih lanjut — memastikan bahwa token benar-benar diterbitkan oleh sumber yang sah dengan cara mengecek Signature menggunakan secret key. Token yang ter-decode belum tentu valid jika tidak diverifikasi.
Registered claims standar JWT antara lain: iss (issuer — siapa yang menerbitkan token), sub (subject — siapa pemilik token, biasanya user ID), aud (audience — untuk siapa token ditujukan), exp (expiration — kapan token kadaluarsa, dalam Unix timestamp), nbf (not before — token belum berlaku sebelum waktu ini), iat (issued at — kapan token diterbitkan), dan jti (JWT ID — ID unik token untuk mencegah replay attack).
Verifikasi signature saat ini mendukung algoritma HMAC: HS256, HS384, dan HS512 — yang menggunakan shared secret key. Untuk RS256, RS384, RS512 (yang menggunakan public/private key RSA), tool ini bisa decode dan inspect claims-nya tetapi belum mendukung verifikasi signature-nya. Kamu tetap bisa melihat semua isi Header dan Payload token RS256 secara lengkap.
Paste token JWT kamu ke kolom input — tool secara otomatis membaca nilai exp (expiration) dari Payload dan menampilkan status: badge merah "Kadaluarsa X menit/jam lalu" jika sudah lewat, atau badge hijau "Berlaku X hari lagi" jika masih aktif. Tidak perlu convert Unix timestamp secara manual.
Decode JWT dilakukan sepenuhnya di browser (client-side) — token tidak dikirim ke server kami. Untuk verifikasi HMAC, secret key dan token diproses di server hanya saat kamu klik verifikasi, dan tidak disimpan setelahnya. Meski begitu, hindari paste JWT dari production yang mengandung data sensitif pengguna — gunakan token test atau sample token yang sudah tersedia.
Karena Payload JWT hanya di-encode dengan Base64URL — bukan dienkripsi. Artinya siapa pun yang mendapatkan token bisa membaca isinya. Ini disengaja — JWT dirancang untuk transparansi data, bukan kerahasiaan. Yang dijaga keamanannya adalah Signature, bukan isi Payload. Jangan taruh data sensitif seperti password di dalam JWT Payload.