Alat JWT — Dekode, Verifikasi & Tanda Tangani

Dekode JWT, verifikasi tanda tangan HS, RS, dan ES dengan secret atau kunci publik PEM, dan tanda tangani token HS baru — semuanya sepenuhnya di browser Anda.

Memuat alat…

Alat JWT — Dekode, Verifikasi & Tanda TanganiPerangkat lengkap JSON Web Token dengan tiga mode — Dekode, Verifikasi, dan Tanda Tangani. Dekode menampilkan header dan payload token secara rapi, Verifikasi memeriksa tanda tangan dengan secret HMAC (HS256/384/512) atau kunci publik PEM (RS256/384/512, ES256/384/512), dan Tanda Tangani membuat token bertanda tangan HS baru dari header, payload, dan secret Anda. Setiap operasi berjalan sepenuhnya di sisi klien dengan Web Crypto API bawaan browser, sehingga token, secret, dan kunci tidak pernah meninggalkan perangkat Anda.

Apa itu Alat JWT — Dekode, Verifikasi & Tanda Tangani?

Alat JWT adalah utilitas JSON Web Token gratis dan lengkap yang menggabungkan dekoder, verifikator tanda tangan, dan penanda tangan HS dalam satu tempat. Dalam mode Dekode, alat ini mendekode token header.payload.signature dengan base64url dan menampilkan header serta payload sebagai JSON yang rapi. Dalam mode Verifikasi, alat ini membaca alg dari header token dan memeriksa tanda tangan dengan Web Crypto API: secret HMAC bersama untuk HS256, HS384, dan HS512, atau kunci publik berformat PEM untuk RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) dan ES256/ES384/ES512 (ECDSA). Dalam mode Tanda Tangani, alat ini membangun dan menandatangani secara HMAC token yang benar-benar baru dari JSON header, JSON payload, algoritme HS yang dipilih, dan secret. Alat ini dibuat untuk engineer backend dan frontend, penguji QA, serta integrator API yang men-debug autentikasi, sesi OAuth/OIDC, dan kedaluwarsa token tanpa menempelkan secret ke layanan jarak jauh.

Cara menggunakan Alat JWT — Dekode, Verifikasi & Tanda Tangani

  1. Pilih mode di bagian atas: Dekode, Verifikasi, atau Tanda Tangani.
  2. Dekode: tempel JWT (header.payload.signature) ke kotak token dan baca Header serta Payload yang rapi di bawah — tidak ada pemeriksaan tanda tangan yang dilakukan di sini.
  3. Verifikasi: tempel token, lalu tempel secret HMAC (untuk algoritme HS) atau kunci publik PEM (untuk RS/ES) ke kotak kunci; alat membaca alg dari header dan menampilkan hasil hijau 'valid' atau merah 'tidak valid'.
  4. Tanda Tangani: masukkan JSON header dan JSON payload, pilih HS256, HS384, atau HS512, ketik secret Anda, dan salin token yang baru ditandatangani yang muncul.
  5. Gunakan tombol Salin pada keluaran mana pun, atau Bersihkan untuk mengatur ulang masukan dekode.

Contoh

Mendekode token

Masukan

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig

Keluaran

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload:
{
  "sub": "1234"
}

Memverifikasi token HS256

Masukan

token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.<sig>
secret: your-256-bit-secret

Keluaran

valid (HS256)

Menandatangani token HS256 baru

Masukan

header: {}
payload: { "sub": "1234567890", "name": "Jane Doe" }
secret: your-256-bit-secret

Keluaran

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIn0.<signature>

Pertanyaan yang sering diajukan

Apakah token, secret, dan kunci saya diunggah ke suatu tempat?
Tidak. Setiap mode berjalan sepenuhnya di sisi klien di browser Anda menggunakan Web Crypto API bawaan (crypto.subtle) untuk HMAC dan verifikasi tanda tangan, ditambah base64url dan JSON dalam JavaScript. Tidak ada — baik token, secret, maupun kunci PEM — yang pernah dikirim ke server mana pun, sehingga aman untuk bekerja dengan kredensial produksi.
Algoritme apa saja yang dapat diverifikasi?
Verifikasi mendukung HS256, HS384, dan HS512 dengan secret HMAC bersama, serta RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) dan ES256/ES384/ES512 (ECDSA) dengan kunci publik berformat PEM. Alat ini membaca field alg dari header token secara otomatis, jadi Anda hanya menyediakan secret atau kunci publik yang sesuai.
Dengan algoritme apa alat ini dapat menandatangani?
Mode Tanda Tangani hanya membuat token bertanda tangan HMAC — HS256, HS384, atau HS512 — dari JSON header, JSON payload, dan secret Anda. Penandatanganan RSA dan ECDSA memerlukan kunci privat dan berada di luar cakupan di sini; untuk RS/ES Anda tetap dapat memverifikasi dengan kunci publik yang sesuai di mode Verifikasi.
Apakah mode Dekode memeriksa tanda tangan?
Tidak. Dekode hanya mendekode base64url dan menampilkan header serta payload secara rapi — alat ini tidak pernah memvalidasi tanda tangan. Beralihlah ke mode Verifikasi dan sediakan secret atau kunci publik untuk memastikan token autentik, dan jangan pernah memercayai payload yang didekode sampai tanda tangannya diverifikasi.
Mengapa verifikasi menyatakan tidak valid atau error?
'Tidak valid' berarti tanda tangan tidak cocok dengan secret atau kunci yang Anda sediakan. Sementara 'error' berarti masukan tidak dapat diproses — misalnya token tidak memiliki segmen tanda tangan, alg tidak didukung, atau kunci publik PEM tidak dapat diurai. Pastikan Anda menempelkan token lengkap dan kunci yang benar untuk algoritmenya.

Alat terkait

Enkripsi Teks AES (AES-GCM + PBKDF2)

Enkripsi dan dekripsi teks dengan AES-256-GCM menggunakan kunci yang diturunkan dari frasa sandi (PBKDF2 SHA-256, salt acak), sepenuhnya di browser Anda tanpa unggahan.

Hash Argon2 & scrypt

Hash kata sandi dengan Argon2id atau scrypt dan verifikasi hash Argon2 terhadap kata sandi, sepenuhnya di browser Anda.

Generator & Verifikator Hash Bcrypt

Buat hash kata sandi bcrypt dari teks biasa dengan faktor biaya yang Anda pilih, atau verifikasi kata sandi terhadap hash bcrypt yang sudah ada, sepenuhnya di browser Anda.

Generator Mnemonik BIP39

Hasilkan frasa pemulihan BIP39 acak sebanyak 12 hingga 24 kata dalam beberapa bahasa, atau ubah mnemonik yang ada kembali menjadi entropi mentahnya, sepenuhnya di browser Anda.