Lewati ke konten
Toova
Semua Alat

Decoder & Inspektur JWT

Privasi sejak awal — berjalan sepenuhnya di peramban Anda

Dekode JWT (JSON Web Token) dan inspeksi header serta payload-nya tanpa mengirim token ke mana pun. Toova menampilkan algoritma, klaim, timestamp penerbitan dan kedaluwarsa dalam bentuk yang dapat dibaca manusia, dan menandai token yang sudah kedaluwarsa — semua secara lokal, di peramban Anda.

Mengapa mendekode JWT secara lokal

Setiap dekoder JWT lainnya meminta Anda menempelkan token ke formulir jarak jauh. Masalahnya jelas — jika token valid, siapa pun yang menjalankan server itu dapat menyamar sebagai Anda. Toova mendekode token sepenuhnya di peramban Anda, tanpa unggahan dan tanpa pencatatan log. Anda dapat menempelkan access token produksi, memeriksa klaim, dan memverifikasi bentuknya benar tanpa membocorkannya ke pihak ketiga.

Apa yang Anda lihat di keluaran terdekode

Toova memecah token menjadi header, payload, dan tanda tangan. Header menunjukkan algoritma dan ID kunci. Payload adalah JSON yang dipercantik dengan setiap klaim standar (iss, sub, aud, exp, nbf, iat, jti) yang dikonversi ke bentuk yang dapat dibaca. Timestamp diterjemahkan ke zona waktu lokal Anda dan alat menandai apakah token saat ini valid, kedaluwarsa, atau belum aktif.

Hanya dekode, jangan pernah percaya

Mendekode JWT tidak sama dengan memverifikasinya. Dekoder menunjukkan apa yang diklaim token, tetapi tidak memeriksa tanda tangan — itu membutuhkan kunci penandatanganan, yang berada di server yang menerbitkan token. Gunakan Toova untuk men-debug struktur klaim, kedaluwarsa, dan nilai audience; gunakan pustaka autentikasi Anda untuk memverifikasi kepercayaan sebelum memberikan akses.

Pertanyaan yang Sering Diajukan

Apakah Toova memverifikasi tanda tangan JWT?
Tidak. Verifikasi membutuhkan kunci penandatanganan, yang hanya dimiliki penerbit. Toova mendekode header dan payload sehingga Anda dapat memeriksa klaim, tetapi mempercayai token tetap membutuhkan verifikasi sisi server dengan rahasia atau kunci publik.
Apakah token saya dikirim ke mana pun?
Tidak. Dekoder berjalan sepenuhnya di peramban Anda. Token tidak pernah meninggalkan perangkat, dan ada nol permintaan jaringan keluar selama decoding. Buka DevTools dan verifikasi sendiri.
Dapatkah saya mendekode token yang sudah kedaluwarsa?
Ya. Dekoder bekerja terlepas dari kedaluwarsa. Ia menandai token sebagai kedaluwarsa dan menunjukkan kapan klaim exp lewat, yang membantu saat men-debug mengapa sebuah permintaan ditolak.
Apa yang dikatakan field alg kepada saya?
Ia mengidentifikasi algoritma penandatanganan — HS256 untuk HMAC-SHA256, RS256 untuk RSA, ES256 untuk ECDSA, dan seterusnya. Jika alg adalah "none" token tidak ditandatangani, yang hampir selalu merupakan bug keamanan.
Mengapa timestamp-nya berupa angka?
Klaim JWT menggunakan detik Unix epoch. Toova menerjemahkan iat, nbf, dan exp ke zona waktu lokal Anda sehingga Anda dapat membacanya, sambil tetap menampilkan nilai mentah sebagai referensi.