Apakah aman untuk melekatkan JWT saya ke dalam alat online?

Alat-alat pada proses iotools.cloud memproses semua data secara lokal di browser Anda. Token Anda tidak pernah dikirim ke server — dekoding, enkripsi, dan pemeriksaan kedaluwarsa semua berjalan secara lokal di JavaScript. Namun, praktik terbaik adalah memutar atau membatalkan token produksi nyata setelah pengujian, terutama jika token tersebut mengandung klaim sensitif atau masa berlaku yang panjang. Untuk token pengembangan dan tahap pengujian, alat lokal dapat digunakan secara aman.

Algoritma apa yang digunakan oleh JWT secara default?

Algoritma yang paling umum adalah HS256 (HMAC dengan SHA-256), sebuah algoritma simetris di mana kunci rahasia yang sama digunakan untuk menandatangani dan memverifikasi token. RS256 (RSA dengan SHA-256) dan ES256 (ECDSA dengan SHA-256) adalah alternatif asimetris di mana kunci pribadi digunakan untuk menandatangani dan kunci publik digunakan untuk memverifikasi — umum digunakan dalam arsitektur multi-layanan di mana Anda tidak ingin berbagi kunci tanda tangan. Algoritma ini dinyatakan dalam header JWT, sehingga decoder selalu menampilkan algoritma yang digunakan.

Bagaimana cara memeriksa kedaluwarsa token secara programatis?

Dalam JavaScript, dekode payload dengan JSON.parse(atob(token.split('.')[1].replace(/-/g, '+').replace(/_/g, '/'))), lalu bandingkan payload.exp * 1000 dengan Date.now(). Dalam Python, gunakan jwt.decode(token, options={'verify_signature': False}) dari library PyJWT — ini memarsing klaim tanpa perlu kunci rahasia, dan secara otomatis memicu kejadian ExpiredSignatureError ketika token melebihi masa berlakunya. Sebagian besar library JWT termasuk validasi masa berlaku sebagai bagian dari langkah dekode secara default.

Tidak suka iklan? Pergi Bebas Iklan Hari ini 

Alat JWT untuk Pengembang Dekode, Enkripsi, dan Periksa Kedaluwarsa Token

Diterbitkan pada 28 Mei 2026

Tiga alat browser gratis yang mencakup seluruh alur JWT: dekode token untuk memeriksa klaim, enkripsi satu untuk simulasi uji, dan periksa kedaluwarsa untuk memperbaiki kesalahan 401 — tanpa perlu instalasi.

Alat JWT untuk Pengembang: Baca, Enkripsi, dan Periksa Kedaluwarsa Token 1

IKLAN · HAPUS?

Setiap pengembang backend pernah mengalami ini: kode 401 Unauthorized muncul di konsol, dan pertarungan dimulai. Apakah token sudah kedaluwarsa? Apakah tanda tangan dibuat dengan rahasia yang salah? Apakah payload kehilangan klaim di antara layanan? JWT — JSON Web Tokens — adalah jaringan utama dari autentikasi modern, dan ketika mereka rusak, semua yang berada di belakang pintu autentikasi menjadi gelap.

Masalahnya bukan karena JWT kompleks. Strukturnya sebenarnya sederhana: tiga bagian yang dienkripsi dengan base64url dan dihubungkan dengan tanda titik — header, payload, tanda tangan. Masalahnya adalah bahwa token mentah seperti ini eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyXzEyMyIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTc0NjA5NjAwMH0.mK2xVpQ8nZ3aF7tLdRhW6sYbcXeUoIPjNvGqTmAS1kE tidak memberi tahu Anda apa-apa sampai Anda mendekodekannya. Dan mendekodekannya — cepat, di browser, tanpa harus menginstal sesuatu — adalah tepat yang dilakukan oleh tiga alat gratis ini.

Panduan ini menjelajahi alur lengkap JWT: mendekode token untuk memeriksa isi dalamnya, mengenkodkan token untuk menguji autentikasi, dan memeriksa kedaluwarsa untuk mendiagnosis kesalahan timeout. Setiap bagian menggunakan token palsu di atas sehingga Anda dapat mengikuti secara berurutan.

Alat 1 — JWT Decoder: Melihat Isi Token Secara Instant

Itu dekode JWT mengambil token apa pun dan membaginya menjadi tiga komponen, mendekode header dan payload dari base64url ke JSON yang dapat dibaca.

Tempel token contoh di atas dan Anda akan melihat header yang telah di-decode menjadi:

{
  "alg": "HS256",
  "typ": "JWT"
}

Dan payload:

{
  "sub": "user_123",
  "role": "admin",
  "exp": 1746096000
}

Itu exp field adalah timestamp Unix. Secara awal tidak memberi arti — tetapi decoder mengubahnya menjadi tanggal yang dapat dibaca oleh manusia sehingga Anda segera tahu apakah token masih valid atau sudah kadaluwarsa.

Satu hal yang perlu dipahami: decoder tidak memverifikasi tanda tangan secara default. Verifikasi tanda tangan membutuhkan rahasia (untuk HS256) atau kunci publik (untuk RS256/ES256). Yang diberikan oleh decoder adalah konten yang telah di-decode — yang merupakan semua yang Anda butuhkan saat memperbaiki 401, memeriksa klaim yang termasuk, atau memeriksa token dari penyedia identitas pihak ketiga.

Perlu dicatat: payload JWT dienkripsi dengan base64url, bukan enkripsi. Setiap alat (atau orang) yang memiliki token dapat membaca payload tanpa rahasia. Tanda tangan hanya membuktikan bahwa token tidak dimodifikasi. Itulah sebabnya Anda tidak perlu menyimpan data sensitif — seperti kata sandi, nomor kartu kredit, atau nomor SSN — di dalam payload JWT.

Alat 2 — JWT Encoder: Membangun Token untuk Uji Coba

Itu JWT encoder melakukan hal yang berlawanan: Anda menyediakan payload JSON, memilih algoritma (HS256 adalah default), memasukkan rahasia, dan alat ini menghasilkan token yang telah ditandatangani yang dapat Anda gunakan langsung.

Kasus penggunaan paling umum adalah membangun autentikasi dalam pengujian. Misalnya, pengujian integrasi membutuhkan mengakses endpoint yang dilindungi. Sebagai gantinya dari mengatur alur login nyata, Anda membuat token dengan klaim yang tepat yang diharapkan oleh endpoint:

{
  "sub": "test_user_001",
  "role": "editor",
  "iat": 1746009600,
  "exp": 1746096000
}

Tandatangani dengan rahasia uji, tempel token hasilnya ke header uji Anda, dan rute yang dilindungi akan merespons seperti jika pengguna nyata telah autentikasi. Tidak perlu membangun middleware autentikasi, tidak perlu membangun penyedia identitas — hanya token yang valid dengan klaim yang Anda butuhkan.

Encoder juga berguna ketika Anda sedang membangun layanan baru dan ingin menguji secara manual bagaimana layanan tersebut menangani kombinasi klaim tertentu: peran yang hilang, token yang kedaluwarsa, lingkup yang tidak terduga. Buat token dengan payload kasus ekstrem dan lemparkan ke middleware untuk melihat bagaimana responsnya.

Jika Anda perlu memahami langkah enkripsi base64url itu sendiri — karena payload JWT hanya dienkripsi, bukan dienkripsi — maka decoder base64 memungkinkan Anda untuk mendekode bagian-bagian secara manual. Tempel bagian tengah dari token apa pun (bagian payload) ke decoder base64 dan Anda akan mendapatkan JSON mentah kembali. Pendekatan yang sama, langkah demi langkah.

Alat 3 — JWT Expiry Checker: Memperbaiki 401 Tanpa Matematika

Kedaluwarsa token bertanggung jawab atas sebagian besar kegagalan autentikasi di produksi. Alat ini pengecek masa berlaku JWT mengambil token apa pun dan memberi tahu Anda secara langsung: apakah sudah kedaluwarsa? Jika ya, seberapa lama?

Tempel token contoh dan checker ini mengekstrak exp field, mengubahnya dari timestamp Unix menjadi tanggal yang dapat dibaca, dan membandingkannya dengan waktu saat ini. Anda mendapatkan status yang jelas: valid (dengan waktu tersisa) atau kedaluwarsa (dengan berapa lama sebelumnya kedaluwarsa).

Ini lebih penting daripada yang terlihat. Ketika 401 muncul di produksi, pertanyaan pertama selalu adalah “apakah token sudah kedaluwarsa atau apakah ada yang lain yang salah?” Membalas pertanyaan itu dengan perhitungan mental pada timestamp Unix — 1746096000 - current_time / 3600 — menghabiskan waktu dan memperkenalkan kesalahan. Checker kedaluwarsa memberi jawaban dalam satu tempel.

Ini juga menampilkan iat (dikeluarkan pada) timestamp saat ada, sehingga Anda dapat melihat tepat kapan token dibuat dan seberapa lama sesi aktif. Berguna saat memperbaiki bug refresh token atau mencari tahu mengapa sesi panjang tiba-tiba gagal.

Menggabungkan Semua Alat: Alur Debug yang Umum

Anda mendapatkan 401. Berikut adalah jalur tercepat dari kesalahan ke solusi:

Periksa kedaluwarsa terlebih dahulu. Tempel token ke dalam melakukan ini dalam satu klik.. Jika sudah kedaluwarsa, solusinya adalah refresh token — tidak perlu debugging lebih lanjut.
Periksa payload. Jika token masih valid, tempel ke dalam dekode JWT. Periksa klaim-klaimnya: apakah sub benar? Apakah role atau scope ditemukan? Apakah audiens (aud) sesuai dengan endpoint yang Anda akses?
Uji dengan token khusus. Jika Anda mencurigai kombinasi klaim tertentu yang menyebabkan penolakan, buat token dengan encoder dan uji secara langsung. Ini memisahkan apakah masalahnya terletak pada isi klaim atau struktur token itu sendiri.