Dekoder JWT
Dekode token JWT dengan cepat dan aman. Dapatkan informasi klaim dan verifikasi tanda tangan tanpa mengirim data ke server.
Tempel JSON Web Token apa pun di bawah ini untuk mendekode. Token Anda hanya diproses dalam sesi Anda — kami tidak mencatat atau menyimpannya.
Gunakan alat ini dari agen AI Anda
API JSON dan server Model Context Protocol (MCP) gratis. Tanpa pendaftaran, tanpa kunci API, CORS terbuka. Dirancang untuk Claude, ChatGPT, Cursor, skrip, dan aplikasi frontend.
curl -X POST https://mate.tools/api/v1/jwt-decode.php \
-H "Content-Type: application/json" \
-d '{"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}'import urllib.request, json
req = urllib.request.Request(
"https://mate.tools/api/v1/jwt-decode.php",
data=json.dumps({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}).encode(),
headers={"Content-Type": "application/json"},
)
with urllib.request.urlopen(req) as r:
print(json.load(r))const r = await fetch("https://mate.tools/api/v1/jwt-decode.php", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}),
});
console.log(await r.json()); Tambahkan ke claude_desktop_config.json (Claude Desktop), ~/.cursor/mcp.json (Cursor), atau klien kompatibel MCP lainnya:
{
"mcpServers": {
"mate-tools": {
"command": "npx",
"args": ["-y", "@mate-tools/mcp-server"]
}
}
}Cara Menggunakan
- Tempel token JWT Anda di kolom input di atas.
- Klik Dekode untuk melihat header, payload, dan tanda tangan.
- Untuk verifikasi tanda tangan, berikan rahasia (HS256/384/512) atau kunci publik (RS256/384/512).
- Periksa status kedaluwarsa untuk melihat apakah token masih aktif.
Fitur Utama
- Mendekode header dan payload JWT dengan satu klik
- Memverifikasi tanda tangan HS256, HS384, HS512 dengan rahasia
- Memverifikasi tanda tangan RS256, RS384, RS512 dengan kunci publik
- Menampilkan stempel waktu kedaluwarsa, tidak-sebelum, dan diterbitkan-pada dalam format yang dapat dibaca
- Token tidak pernah dicatat atau disimpan di server kami
Kasus Penggunaan Umum
- Debug alur autentikasi di aplikasi Anda
- Periksa token yang dikembalikan oleh penyedia OAuth atau OpenID Connect
- Periksa kapan token akses kedaluwarsa
- Verifikasi bahwa token ditandatangani oleh penerbit yang diharapkan
Pertanyaan yang Sering Diajukan
JWT adalah cara yang ringkas dan aman untuk URL untuk merepresentasikan klaim antara dua pihak. Ini terdiri dari tiga bagian — header, payload, dan tanda tangan — yang dipisahkan dengan titik. JWT banyak digunakan dalam autentikasi dan otorisasi (OAuth 2.0, OpenID Connect, single sign-on).
Ya — token dikirim ke server kami hanya agar PHP dapat mendekode dan (opsional) memverifikasi tanda tangan. Token tidak pernah dicatat, tidak pernah disimpan, dan tidak pernah ditulis ke disk. Ia hanya ada di memori selama durasi permintaan.
Kami memverifikasi HS256, HS384, HS512 (HMAC dengan SHA-2) saat Anda memberikan rahasia bersama, dan RS256, RS384, RS512 (RSA dengan SHA-2) saat Anda memberikan kunci publik penerbit dalam format PEM. Algoritma lain (ES256, EdDSA, dll.) didekode tetapi tidak diverifikasi.
Klaim exp (kedaluwarsa) adalah stempel waktu Unix setelah itu token tidak boleh lagi diterima. JWT yang kedaluwarsa harus ditolak oleh server bahkan jika tanda tangannya valid. Gunakan refresh token untuk mendapatkan token akses baru.
Tidak. Mendekode JWT hanya membaca isinya — itu tidak membuktikan token itu asli. Anda harus selalu memverifikasi tanda tangan dengan rahasia atau kunci publik penerbit sebelum mempercayai klaim apa pun di dalamnya.
