Encode JWT Online
Buat token JWT yang ditandatangani HMAC-SHA256 untuk pengujian dan pengembangan. Gratis, di browser Anda, tanpa unggahan data.
Mengapa menggunakan encoder ini
JWT untuk pengembangan, tanpa kerumitan
Privasi total
Token dihasilkan menggunakan Web Crypto API langsung di browser Anda. Payload maupun kunci rahasia tidak pernah meninggalkan perangkat Anda.
Penandatanganan kriptografis nyata
Kami menggunakan HMAC-SHA256 melalui Web Crypto API, algoritma yang sama digunakan server produksi. Token valid dan dapat diverifikasi.
Kompatibel dengan pustaka JWT apa pun
Token yang dihasilkan adalah standar RFC 7519. Berfungsi dengan jsonwebtoken (Node.js), PyJWT (Python), java-jwt, dan implementasi yang kompatibel apa pun.
Instan, tanpa ketergantungan jaringan
Tidak ada panggilan server. Pembuatan terjadi dalam milidetik terlepas dari koneksi Anda.
Cara kerjanya
Tiga langkah, tanpa kerumitan
Tentukan payload
Tulis payload JSON dengan klaim yang Anda butuhkan: sub, exp, iat, atau bidang kustom apa pun.
Masukkan kunci rahasia Anda
Ketik kunci rahasia untuk penandatanganan HMAC-SHA256. Gunakan kunci uji saja, jangan pernah menggunakan rahasia produksi di alat browser.
Salin token yang dihasilkan
Token JWT yang ditandatangani dihasilkan seketika di browser Anda. Salin untuk digunakan dalam uji API Anda.
FAQ
Ada pertanyaan?
HMAC-SHA256 adalah algoritma penandatanganan yang menggabungkan kunci rahasia Anda dengan header dan payload yang dikodekan Base64URL untuk menghasilkan tanda tangan kriptografis. Ini memastikan token tidak dimanipulasi.
TIDAK, jangan pernah memasukkan kunci rahasia produksi ke dalam alat browser. Alat ini untuk menghasilkan token uji di lingkungan pengembangan. Kunci tetap di perangkat Anda, tetapi risiko paparan ada setiap kali Anda mengetik rahasia nyata ke dalam kolom teks web apa pun.
HS256 (HMAC-SHA256) adalah algoritma default dan paling umum untuk JWT simetris. Ini adalah standar untuk sebagian besar implementasi yang tidak memerlukan kriptografi asimetris (RS256/ES256).
Ya. Token JWT yang dihasilkan dapat didekode dengan alat JWT Decode kami untuk memverifikasi header dan payload. Ingat bahwa payload hanya dikodekan Base64URL, bukan dienkripsi, sehingga siapa pun dapat membaca isinya.
Ya. Tambahkan pasangan kunci-nilai JSON apa pun ke payload. Klaim standar seperti sub (subject), iss (issuer), dan aud (audience) diperlakukan sama dengan yang kustom. Keduanya hanyalah konvensi standar JWT.
exp (expiration) dan iat (issued at) adalah timestamp Unix dalam detik. Untuk token yang kedaluwarsa dalam 1 jam: iat adalah timestamp saat ini dan exp adalah iat + 3600. Anda bisa mendapatkan timestamp saat ini dengan Date.now()/1000 di konsol browser.
Alur kerja pembuatan JWT, proses penandatanganan HMAC-SHA256, Web Crypto API untuk kriptografi, pengujian JWT dalam pengembangan API
JSON Web Token (JWT) adalah standar terbuka (RFC 7519) yang mendefinisikan format ringkas dan mandiri untuk mengirimkan informasi secara aman antar pihak sebagai objek JSON. JWT terdiri dari tiga bagian yang dipisahkan oleh titik: header (jenis token dan algoritma penandatanganan), payload (klaim atau pernyataan), dan signature (tanda tangan kriptografis). Setiap bagian dikodekan dalam Base64URL, membuat token aman digunakan dalam URL dan header HTTP.
Algoritma HS256 (HMAC dengan SHA-256) adalah yang paling umum untuk JWT simetris: baik penerbit maupun penerima berbagi kunci rahasia yang sama. Tanda tangan dihitung sebagai HMAC-SHA256(Base64URL(header) + titik + Base64URL(payload), secret). Web Crypto API browser mengimplementasikan HMAC-SHA256 secara asli, memungkinkan pembuatan token yang valid secara kriptografis tanpa mengirim data ke server apa pun.
Dalam pengembangan API REST, JWT terutama digunakan untuk autentikasi stateless: server menghasilkan token saat login, klien menyimpannya (localStorage atau cookie httpOnly) dan mengirimkannya di header Authorization: Bearer token pada setiap permintaan. Server hanya perlu memverifikasi tanda tangan dengan kunci rahasianya, tanpa pencarian basis data. Klaim standar terpenting adalah sub (pengenal pengguna), exp (waktu kedaluwarsa dalam Unix seconds), iat (waktu diterbitkan), dan iss (penerbit token).