Apa itu encoding Base64 dan mengapa disebut 'Base64'?

Base64 adalah skema encoding biner-ke-teks yang merepresentasikan data biner menggunakan 64 karakter ASCII yang dapat dicetak: A-Z (26), a-z (26), 0-9 (10), ditambah '+' dan '/' (2), total 64. Karakter '=' digunakan sebagai padding. Ia disebut Base64 karena ada 64 kemungkinan nilai untuk setiap karakter yang di-encode, dan setiap karakter meng-encode tepat 6 bit data asli (2^6 = 64).

Apakah encoding Base64 mengenkripsi data saya?

Tidak. Base64 adalah skema encoding, bukan algoritma enkripsi. Encoding dapat dibalikkan tanpa kunci apa pun — siapa pun yang memiliki string Base64 dapat men-decode-nya secara instan menggunakan decoder Base64 apa pun. Jika Anda perlu melindungi data dari akses tidak sah, Anda harus menggunakan enkripsi (seperti AES-256) sebelum atau alih-alih encoding. Base64 hanya berguna untuk membuat data biner aman untuk transmisi dalam protokol berbasis teks — ia tidak memberikan kerahasiaan sama sekali.

Seberapa lebih besar output Base64 dibandingkan dengan data asli?

Encoding Base64 meningkatkan ukuran data sekitar 33%. Setiap 3 byte input menjadi 4 karakter Base64, ditambah karakter padding ('=') ditambahkan untuk membuat panjang output kelipatan 4. Misalnya, 3 byte menjadi 4 karakter, 6 byte menjadi 8 karakter, dan 1 MB menjadi sekitar 1,37 MB setelah encoding. Overhead ini adalah trade-off utama saat memutuskan apakah akan menggunakan Base64.

Apa perbedaan antara Base64 standar dan Base64 URL-safe?

Base64 standar menggunakan '+' dan '/' sebagai karakter ke-62 dan ke-63. Karakter-karakter ini memiliki makna khusus dalam URL: '+' didekode sebagai spasi dalam query string, dan '/' adalah pemisah path. Base64 URL-safe (juga disebut Base64url) mengganti '+' dengan '-' dan '/' dengan '_', membuat string yang di-encode aman untuk disertakan dalam URL dan nama file tanpa percent-encoding tambahan. Karakter padding ('=') juga sering dihilangkan dalam encoding URL-safe. Token JWT, misalnya, menggunakan Base64url tanpa padding.

Haruskah saya menggunakan Base64 untuk menyimpan password?

Sama sekali tidak. Base64 mudah dibalikkan — string Base64 apa pun dapat didekode ke nilai aslinya dalam milidetik. Menyimpan password yang di-encode Base64 setara dengan menyimpannya dalam teks biasa. Password harus di-hash dengan fungsi hashing password yang tepat seperti bcrypt, scrypt, atau Argon2, yang dirancang untuk mahal secara komputasi dan tidak dapat dibalikkan. Base64 tidak memiliki peran dalam penyimpanan password.

Kapan saya TIDAK boleh menggunakan encoding Base64?

Hindari Base64 ketika: (1) Anda membutuhkan keamanan — Base64 bukan enkripsi. (2) Anda menyematkan file besar seperti gambar di HTML/CSS — overhead ukuran 33% dan ketidakmampuan untuk meng-cache resource secara terpisah merugikan kinerja. (3) Anda menyimpan data biner besar di basis data — simpan biner di kolom biner khusus atau penyimpanan objek seperti S3, bukan sebagai string Base64. (4) Anda memerlukan pemrosesan cepat — encoding dan decoding Base64 menambah overhead CPU untuk payload besar. Gunakan Base64 hanya ketika Anda benar-benar perlu merepresentasikan data biner sebagai teks ASCII dalam protokol atau format yang tidak dapat menangani biner mentah.

Memahami Encoding Base64 — Panduan Pengembang Lengkap

10 Mei 2026 Toova

Encoding Base64 muncul di hampir setiap area pengembangan web — token JWT, data URI, lampiran email, payload API, tanda tangan kriptografis, dan file konfigurasi. Meskipun ada di mana-mana, ia sering disalahpahami: pengembang kadang-kadang membingungkannya dengan enkripsi, atau menggunakannya dalam situasi di mana ia membuat hal-hal lebih buruk. Panduan ini menjelaskan dengan tepat cara kerja Base64, kapan harus menggunakannya, kapan harus menghindarinya, dan cara menggunakannya dengan benar di JavaScript.

Apa Itu Encoding Base64 (dan Bukan Apa)

Base64 adalah skema encoding biner-ke-teks. Satu-satunya tugasnya adalah mengonversi data biner arbitrer menjadi string karakter ASCII yang dapat dicetak. Ia tidak mengompresi data, ia tidak mengenkripsi data, dan ia tidak memvalidasi data. Ia murni transformasi representasi — mengambil byte yang mungkin menyertakan null byte, karakter kontrol, atau nilai yang akan merusak protokol berbasis teks, dan mengonversinya ke set karakter yang aman.

Nama berasal dari 64 karakter yang dapat dicetak yang digunakan sebagai alfabet encoding: A–Z (26 karakter), a–z (26 karakter), 0–9 (10 karakter), ditambah + dan / (2 karakter). Karakter = digunakan untuk padding. Karena ada 64 kemungkinan nilai per posisi karakter dan 2^6 = 64, setiap karakter Base64 meng-encode tepat 6 bit data asli.

Cara Kerja Base64 — "Hello" Langkah demi Langkah

Cara terbaik untuk memahami Base64 adalah menelusuri contoh konkret. Mari kita encode string Hello.

Langkah 1: Konversi ke byte

Setiap karakter dalam Hello dipetakan ke kode ASCII-nya, yang kemudian dinyatakan dalam biner (8 bit per byte):

H  e  l  l  o
72 65 6C 6C 6F   (ASCII / heks)
01001000 01100101 01101100 01101100 01101111   (biner)

Langkah 2: Kelompokkan menjadi potongan 6-bit

Gabungkan semua bit: 0100100001100101011011000110110001101111 (40 bit). Base64 memproses 3 byte (24 bit) sekaligus dan memetakannya ke 4 karakter Base64 (4 × 6 = 24 bit). Kelompokkan 40 bit menjadi potongan 6-bit, padding grup terakhir dengan nol untuk mengisinya:

010010 000110 010101 101100 011011 000110 1111
18     6      21     44     27     6      (grup terakhir di-padding hingga 6 bit: 111100 = 60)

Langkah 3: Petakan ke alfabet Base64

Setiap nilai 6-bit dipetakan ke sebuah karakter di alfabet Base64 (A=0, B=1, ... Z=25, a=26, ... z=51, 0=52, ... 9=61, +=62, /=63). Karena 5 byte bukan kelipatan 3, satu karakter padding = ditambahkan:

Indeks: 18  6   21  44  27  6   60
Karakter: S G   V   s   b   G   8
Hasil: SGVsbG8=   (= adalah padding)

Hasil

"Hello" → "SGVsbG8="

Anda dapat memverifikasi ini secara instan dengan encoder/decoder Base64 Toova — tempelkan Hello, klik Encode, dan Anda mendapatkan SGVsbG8=. Klik Decode untuk membalikkannya.

Overhead Ukuran 33%

Encoding Base64 selalu meningkatkan ukuran data sekitar 33%. Matematikanya lurus: 3 byte input (24 bit) menghasilkan 4 karakter Base64 (24 bit di-encode dalam 4 grup 6-bit). Itu rasio 4/3, atau overhead 33,3%. Tambahkan karakter padding dan overhead sebenarnya antara 33% dan 36%, tergantung pada panjang input.

Ini sangat penting untuk kinerja. Sebuah gambar 1 MB yang disematkan sebagai data URI Base64 di HTML menjadi sekitar 1,37 MB. Sebuah API yang meng-encode semua payload biner dalam Base64 mengirim 33% lebih banyak data daripada yang diperlukan. Untuk nilai kecil seperti token pendek atau checksum, overhead dapat diabaikan. Untuk file besar, itu adalah biaya nyata.

Varian URL-Safe

Base64 standar menggunakan + dan / sebagai dua karakter alfabet terakhir. Keduanya bermasalah di URL:

+ didekode sebagai karakter spasi dalam query string
/ adalah pemisah path di URL

Base64 URL-safe (juga disebut Base64url, didefinisikan di RFC 4648 Section 5) mengganti + dengan - dan / dengan _. Padding (=) biasanya dihilangkan dalam konteks URL-safe karena ia juga dapat disalahartikan oleh beberapa parser URL.

Token JWT menggunakan Base64url tanpa padding. Ketika Anda mendekode header atau payload JWT secara manual, Anda harus menangani baik substitusi karakter maupun padding yang hilang. Berikut cara melakukannya di JavaScript:

// Base64 URL-safe (ganti + dengan - dan / dengan _)
function toBase64Url(base64) {
  return base64.replace(/\+/g, '-').replace(/\//g, '_').replace(/=/g, '');
}

function fromBase64Url(base64url) {
  const padded = base64url.padEnd(
    base64url.length + (4 - base64url.length % 4) % 4,
    '='
  );
  return atob(padded.replace(/-/g, '+').replace(/_/g, '/'));
}

Encoder/decoder Base64 Toova mendukung baik varian standar maupun URL-safe dengan satu toggle.

Base64 di JavaScript

Peramban: btoa() dan atob()

Peramban menyediakan dua fungsi bawaan: btoa() (binary to ASCII, yaitu encode) dan atob() (ASCII to binary, yaitu decode). Meskipun urutan namanya membingungkan, mereka telah tersedia di peramban selama lebih dari satu dekade.

// Peramban — atob / btoa (hanya string, aman-ASCII)
const encoded = btoa("Hello");
console.log(encoded); // "SGVsbG8="

const decoded = atob("SGVsbG8=");
console.log(decoded); // "Hello"

Batasan penting: btoa() hanya menerima string dengan karakter dalam rentang Latin-1 (code point 0–255). Jika Anda menyebarkan string dengan karakter Unicode seperti emoji atau karakter CJK, ia melempar DOMException. Untuk meng-encode data biner arbitrer, konversikan ke Uint8Array terlebih dahulu:

// Peramban — meng-encode biner arbitrer (Uint8Array)
const bytes = new Uint8Array([72, 101, 108, 108, 111]);
const encoded = btoa(String.fromCharCode(...bytes));
console.log(encoded); // "SGVsbG8="

Untuk meng-encode string arbitrer yang mungkin berisi karakter Unicode, pendekatan modern yang direkomendasikan adalah menggunakan TextEncoder untuk mendapatkan Uint8Array terlebih dahulu, lalu meng-encode seperti yang ditunjukkan di atas.

Node.js: Buffer

Node.js menyediakan kelas Buffer, yang menangani data biner dengan benar dan mendukung beberapa encoding termasuk Base64 dan Base64url:

// Node.js — Buffer (menangani biner dengan aman)
const encoded = Buffer.from('Hello').toString('base64');
console.log(encoded); // "SGVsbG8="

const decoded = Buffer.from('SGVsbG8=', 'base64').toString('utf8');
console.log(decoded); // "Hello"

// Varian URL-safe di Node.js
const urlSafe = Buffer.from('Hello').toString('base64url');
console.log(urlSafe); // "SGVsbG8" (tanpa padding)

Opsi encoding base64url (tersedia sejak Node.js 16) menangani substitusi karakter dan penghapusan padding secara otomatis, membuatnya jauh lebih mudah daripada melakukan transformasi secara manual.

Untuk lingkungan peramban yang perlu menangani file biner besar, metode FileReader.readAsDataURL meng-encode file sebagai data URI Base64 tanpa memuat semuanya ke memori sekaligus.

Kapan Menggunakan Base64

Menyematkan data biner dalam protokol khusus-teks

Kasus penggunaan asli untuk Base64 adalah meng-encode lampiran email biner dalam SMTP, sebuah protokol yang hanya mendukung teks ASCII 7-bit. Prinsip yang sama berlaku di mana pun Anda perlu menyertakan data biner dalam format yang tidak dapat menangani byte mentah: payload JSON API, dokumen XML, atribut HTML, nilai CSS, header HTTP.

Data URI untuk aset kecil

CSS dan HTML memungkinkan Anda menyematkan gambar, font, dan SVG sebagai data URI Base64. Ini menghilangkan round-trip HTTP untuk aset kecil seperti ikon dan menghilangkan flash-of-unstyled-content untuk gambar above-the-fold yang kritis.

<!-- Ikon SVG inline sebagai data URI Base64 -->
<img src="data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0c..." alt="ikon" />

<!-- Background CSS inline -->
.icon {
  background-image: url("data:image/png;base64,iVBORw0KGgo...");
}

Trade-off-nya: data URI Base64 tidak dapat di-cache secara terpisah dari file HTML/CSS yang menyertakannya. Jika gambar tidak pernah berubah tetapi HTML di sekitarnya berubah, peramban mengunduh ulang data gambar pada setiap reload halaman. Gunakan data URI hanya untuk aset kecil (idealnya di bawah 4 KB) di mana penghapusan round-trip lebih besar daripada penalti cache.

Meng-encode data biner untuk JSON atau parameter URL

JSON adalah format teks — ia tidak dapat merepresentasikan byte biner mentah secara langsung. Ketika API perlu mengirim data biner (thumbnail gambar, tanda tangan kriptografis, data terkompresi), Base64 adalah cara standar untuk menyertakannya dalam payload JSON. Demikian pula, jika Anda perlu mengirim data biner dalam parameter query URL, encoding Base64url memastikan data bertahan dari percent-encoding tanpa korupsi.

JWT dan format token lainnya

Token JWT menggunakan Base64url untuk meng-encode bagian header dan payload mereka. Ini membuat token menjadi string yang dapat dicetak, aman-URL yang dapat dikirim dalam header HTTP, cookie, atau parameter URL. Encoding bukan untuk keamanan (payload dapat dibaca oleh siapa pun dengan token) — ia murni untuk transmisi yang aman.

Kapan TIDAK Menggunakan Base64

Keamanan atau kerahasiaan

Base64 tidak memberikan keamanan sama sekali. Ia mudah dibalikkan dalam milidetik. Jangan menggunakannya untuk "mengaburkan" password, kunci API, atau nilai konfigurasi sensitif. Pengembang mana pun yang melihat string Base64 akan men-decode-nya segera. Jika Anda membutuhkan kerahasiaan, gunakan enkripsi.

Penyimpanan password

Menyimpan password yang di-encode Base64 sama dengan menyimpannya dalam teks biasa — encoding dapat dibalikkan secara instan. Password harus di-hash dengan fungsi hashing password yang tepat seperti bcrypt, Argon2, atau scrypt.

File biner besar

Meng-encode file 10 MB sebagai Base64 menghasilkan string 13,7 MB. Jika Anda menyimpan itu di kolom basis data, mencari di dalamnya, atau mengirimnya melalui API, Anda membayar overhead 33% setiap saat. Untuk data biner besar, gunakan penyimpanan biner khusus: kolom BLOB/BYTEA basis data, penyimpanan objek seperti S3 atau GCS, atau streaming biner secara langsung.

Situasi di mana Anda dapat menggunakan biner secara langsung

Jika protokol atau format Anda mendukung biner mentah — misalnya, WebSocket dengan tipe pesan biner, upload HTTP multipart/form-data, atau format file biner — gunakan biner secara langsung. Base64 hanya diperlukan ketika medium transportasi benar-benar tidak dapat menangani byte mentah.

Jebakan Umum

Membingungkan encoding dengan enkripsi

Ini adalah kesalahan yang paling umum. Base64 terlihat. Ia bukan mekanisme keamanan. Komentar kode seperti "password disimpan dalam encoding Base64 untuk keamanan" menunjukkan kesalahpahaman serius yang harus ditangkap dalam code review.

Menggunakan btoa() dengan string Unicode

Memanggil btoa() pada string yang berisi karakter dengan code point di atas 255 melempar DOMException: Failed to execute 'btoa': The string to be encoded contains characters outside of the Latin1 range. Selalu konversikan ke Uint8Array via TextEncoder sebelum meng-encode string yang mungkin berisi karakter Unicode.

Melupakan padding saat decoding

String Base64 harus memiliki panjang yang merupakan kelipatan 4. Jika sebuah string Base64 dihasilkan tanpa padding (umum dalam encoding URL-safe), Anda harus menambahkan kembali jumlah karakter = yang benar sebelum decoding. String Base64 dengan panjang n membutuhkan (4 - n % 4) % 4 karakter padding. Melupakan ini menyebabkan error decode yang sulit didiagnosis.

Double-encoding

String Base64 itu sendiri adalah ASCII yang valid, jadi btoa(btoa(data)) berfungsi tanpa error tetapi menghasilkan output yang di-encode ganda. Ketika menyebarkan nilai Base64 melalui beberapa lapisan serialisasi (JSON di dalam JSON, misalnya), mudah untuk meng-encode data yang sama dua kali. Selalu decode persis sebanyak Anda meng-encode.

Referensi Cepat: Base64 dalam Praktik

Untuk encoding dan decoding di peramban tanpa menulis kode, encoder/decoder Base64 Toova berjalan sepenuhnya di peramban Anda — tanpa round-trip server. Ia mendukung varian standar dan URL-safe, upload file untuk encoding file biner, dan output teks dan heks untuk data yang didekode.

Jika Anda bekerja dengan konten yang di-encode di dalam URL, encoder/decoder URL menangani percent-encoding secara terpisah dari Base64. Untuk entitas HTML, konverter entitas HTML menangani escape karakter dalam konteks HTML. Ini adalah skema encoding yang berbeda — masing-masing memiliki kasus penggunaan tertentu.

Referensi kanonik untuk Base64 adalah RFC 4648, yang mendefinisikan Base64 standar (Section 4), Base64url (Section 5), dan Base32 (Sections 6–7). Untuk API peramban btoa() dan atob(), dokumentasi MDN untuk btoa() mencakup kompatibilitas peramban dan batasan Unicode secara terperinci.

Ringkasan

Encoding Base64 mengonversi data biner ke ASCII yang dapat dicetak menggunakan alfabet 64-karakter. Ia meningkatkan ukuran data sebesar 33%, sepenuhnya dapat dibalikkan, dan tidak memberikan keamanan. Gunakan ketika Anda perlu menyematkan data biner dalam format berbasis teks — payload JSON, data URI HTML, token JWT, lampiran email, parameter URL. Hindari ketika Anda membutuhkan keamanan, ketika transportasi mendukung biner secara langsung, atau ketika overhead 33% penting dalam skala.

Memahami apa itu Base64 — dan apa bukan — mencegah kesalahan yang paling umum: menggunakannya untuk keamanan, menerapkannya pada file besar yang tidak perlu, dan membingungkannya dengan skema encoding lain seperti URL encoding atau entitas HTML. Setiap skema encoding memecahkan masalah tertentu. Base64 memecahkan tepat satu: membuat data biner aman untuk saluran khusus-teks.

Siap untuk encode atau decode? Cobalah encoder/decoder Base64 Toova — tempelkan teks atau jatuhkan file, toggle standar atau URL-safe, dan salin hasilnya. Tanpa akun, tanpa server, tanpa batas.