AG
JWT
DECODER
Dekoder
Algoritma
Klaim
Panduan
Tentang
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
Dekoder
/
Panduan
/
Di mana menyimpan JWT: localStorage vs cookie
Panduan
Di mana menyimpan JWT: localStorage vs cookie
Tempat Anda menyimpan JWT di peramban mengubah risiko XSS dan CSRF Anda.
localStorage: mudah dipakai tetapi dapat dibaca JavaScript, sehingga rentan XSS — skrip yang disuntikkan bisa mencuri token.
Cookie HttpOnly: tidak dapat dibaca JavaScript sehingga tahan XSS, tetapi dikirim otomatis, jadi butuh pertahanan CSRF (SameSite / token CSRF).
Disarankan: simpan refresh token di cookie HttpOnly, Secure, dan SameSite, serta access token sebentar di memori (variabel).
Di mana pun disimpan, HTTPS wajib; jaga masa hidup token pendek dan jangan pernah taruh data sensitif di payload.
Coba dekode token sendiri
Cukup tempel dan header, payload, serta klaim langsung terbuka.
Buka dekoder
Terkait
Apa itu JWT
JWT (JSON Web Token) adalah format token JSON kecil yang ditandatangani untuk menyampaikan informasi secara aman antarpihak.
Struktur tiga bagian JWT
Setiap JWT terdiri dari header.payload.signature, dan setiap bagian disandikan base64url.
Daftar periksa keamanan JWT
Daftar singkat prinsip utama untuk menggunakan JWT dengan aman.
JWT vs autentikasi sesi
Perbedaan antara autentikasi berbasis token (JWT) dan berbasis sesi server (cookie), serta kapan memakai masing-masing.
Kesalahan JWT umum dan solusinya
Kesalahan yang paling sering Anda temui saat bekerja dengan JWT, beserta penyebab dan solusinya.
Access token dan refresh token
Peran access token berumur pendek dan refresh token yang memperbaruinya.
JWS vs JWE (ditandatangani vs dienkripsi)
JWT biasanya berupa JWS yang ditandatangani; untuk menyembunyikan isi digunakan JWE yang dienkripsi. Inilah perbedaannya.
Klaim khusus (publik vs privat)
Selain klaim terdaftar (iss, exp, ...), jenis klaim yang Anda definisikan sendiri dan cara menghindari tabrakan.
JWT dalam OAuth 2.0 & OpenID Connect
Bagaimana JWT digunakan dalam OAuth 2.0 dan OpenID Connect.