Berapa banyak request jaringan ke pihak ketiga yang dilakukan jwt.io di paint pertama?

Diukur pada 2026-05-05: 10 request ke pihak ketiga sebelum user mengetik apapun — SDK consent cookie OneTrust (5), tag manager Adobe Experience Platform (3), Google Tag Manager (1), dan geo-lookup OneTrust (1). TaskKit melakukan 0.

Apakah decoder JWT TaskKit mendukung lookup JWKS berdasarkan kid?

Ya. Kamu paste dokumen JWKS lengkap di field key dan TaskKit membaca header kid token dan secara otomatis memilih JWK yang sesuai. Set dengan satu key digunakan langsung, bahkan tanpa kid.

Mengapa TaskKit tidak otomatis men-download JWKS dari URL?

Auto-fetch akan menjadi request keluar dari browser kamu ke pihak ketiga dan akan merusak postur privacy yang mendefinisikan tool ini. Token, key, dan JWKS semua tetap lokal. Paste JWKS sendiri; cukup curl saja.

Bagaimana TaskKit mencegah catastrophic backtracking dengan token tertandatangan?

Verifikasi tanda tangan berjalan di Web Worker dengan timeout keras. Jika token yang dibuat secara jahat mencoba memblokir verifier, worker dihentikan dan UI menampilkan error alih-alih membekukan tab.

Perbandingan

Perbandingan · Diperbarui 2026-05-05

Tools JWT TaskKit vs jwt.io

Kedua tool men-decode dan memverifikasi JSON Web Token sepenuhnya di browser. Perbedaan praktis ada pada apa yang masing-masing muat di samping editor, bagaimana mereka berperilaku menghadapi tanda tangan yang lambat atau jahat, dan segelintir fitur yang dimiliki satu dan tidak dimiliki yang lain. Ringkasan di bawah terukur; sisa halaman menunjukkan gambaran lengkap.

Ringkasan

Privasi: TaskKit melakukan 0 request ke pihak ketiga di paint pertama. jwt.io melakukan 10 (consent OneTrust, Adobe Experience Platform, Google Tag Manager).
Algoritma dan format key: identik di keduanya untuk spec JWT — HS / RS / PS / ES / EdDSA, JWK dan JWKS lengkap (dengan pencocokan kid), x5c, PEM PKCS#1 / PKCS#8 / X.509. TaskKit juga menerima key EdDSA sebagai hex mentah atau string base64url.
Keamanan runtime: TaskKit memverifikasi tanda tangan di Web Worker dengan timeout 2 detik; token jahat tidak dapat memblokir halaman. jwt.io memverifikasi di main thread.
Di mana jwt.io lebih kuat: direktori library yang dikurasi, halaman pengantar yang luas, dan link per claim ke RFC yang sesuai.
Apa yang TaskKit tinggalkan secara sengaja: download otomatis JWKS dari URL (akan memerlukan panggilan keluar). Buka decoder TaskKit.

Privasi, terukur

Kedua tool mengklaim melakukan pekerjaan mereka di browser. Klaim itu bernilai sesuatu hanya jika kamu dapat memverifikasinya. Setiap halaman di bawah dimuat pada 2026-05-05 di profil Chrome bersih dengan cache yang dihapus, dan semua request jaringan keluar dihitung sebelum tombol apapun ditekan. Tes yang sama berjalan terhadap decoder JWT TaskKit.

Jaringan di paint pertama	jwt.io	TaskKit
Request ke pihak ketiga	10	0
SDK consent OneTrust	Dimuat (5 panggilan)	Tidak
Adobe Experience Platform / DTM	Dimuat (3 panggilan)	Tidak
Google Tag Manager	Dimuat	Tidak
Geo-lookup	Endpoint geo dari onetrust.com	Tidak
Banner consent cookie	Ya, memblokir paint awal sampai dikonfirmasi	Tidak ada
Login wajib untuk fitur lanjutan	Tidak	Tidak

Setiap panggilan tersebut terjadi sebelum kamu paste token. Tidak ada yang diperlukan agar halaman bisa men-decode JWT — itu adalah analytics, tag management, dan flow consent. TaskKit tidak mengirim apapun dari itu. Lebih lanjut tentang bagaimana TaskKit memperlakukan data kamu.

Matriks fitur

Kedua tool mencakup hampir seluruh spec JWT. Di bawah, apa yang masing-masing terima hari ini, dikelompokkan berdasarkan kategori.

Kemampuan	jwt.io	TaskKit
Algoritma
HS256 / 384 / 512	Ya	Ya
RS256 / 384 / 512	Ya	Ya
PS256 / 384 / 512	Ya	Ya
ES256 / 384 / 512	Ya	Ya
EdDSA (Ed25519)	Ya	Ya (via @noble/ed25519)
Format key
JWK (tunggal)	Ya	Ya
JWKS dengan lookup berdasarkan kid	Ya	Ya
PEM SPKI (BEGIN PUBLIC KEY)	Ya	Ya
PEM PKCS#1 RSA (BEGIN RSA PUBLIC KEY)	Sebagian	Ya (reader ASN.1 internal)
Sertifikat X.509 (BEGIN CERTIFICATE)	Ya	Ya (SPKI diekstrak otomatis)
Header x5c digunakan otomatis	Ya	Ya (chain tidak divalidasi, ditandai eksplisit)
EdDSA mentah sebagai hex / base64url	Tidak	Ya (64 hex atau 43 base64url)
Keamanan verifikasi
Isolasi Web Worker	Tidak	Ya
Timeout terhadap catastrophic backtracking	Tidak	Ya (2 detik)
alg:none ditolak dengan penjelasan	Ya	Ya
Encoder
Edit header / payload	Ya	Ya
Field formulir untuk claim terdaftar	Tidak	Ya
Private key PKCS#1 diterima langsung	Tidak	Ya (otomatis dibungkus PKCS#8)
EdDSA private sebagai hex / base64url	Tidak	Ya
Token contoh dengan satu klik	Ya	Ya (iat/exp saat ini dihitung live)
Privasi / Runtime
Pemrosesan integral di browser	Ya	Ya
Nol request ke pihak ketiga	Tidak	Ya
Banner consent cookie	Ya	Tidak ada
Cloudflare Web Analytics opsional (privacy-preserving, off secara default)	—	Off kecuali operator mengaktifkan dengan token

Keamanan runtime

verify WebCrypto cepat dengan tanda tangan yang berbentuk baik. Dengan input jahat, tidak. Eksponen RSA patologis, key kelebihan ukuran, tanda tangan Ed25519 yang rusak, atau JWKS yang dibuat dengan niat buruk dapat membuat verifier sibuk cukup lama untuk memblokir tab — risiko nyata saat token di depan kamu berasal dari sumber yang tidak terpercaya.

TaskKit menjalankan verifikasi tanda tangan di Web Worker khusus dengan timeout wall-clock 2 detik. Jika worker melampaui budget, worker dihentikan dan halaman menampilkan error alih-alih hang. jwt.io memverifikasi di main thread, jadi tanda tangan yang lambat adalah halaman yang lambat. Arsitektur yang sama melindungi tester regex TaskKit (terhadap backtracking jenis (a+)+b) dan formatter JSON (terhadap parse multi-megabyte).

Detail editor yang penting sehari-hari

Highlight tiga warna di input. Kedua tool mewarnai tiga segmen token, tapi jwt.io hanya melakukannya di panel « Decoded » yang read-only. TaskKit mewarnai segmen langsung di textarea tempat kamu mengedit, yang memudahkan menemukan titik yang salah di-paste.
Label claim selalu terlihat. Nama yang dapat dibaca di jwt.io (iat → "Issued at") berada di balik tab « Claims Breakdown ». TaskKit menampilkannya inline, di bawah payload, sehingga data dan deskripsi terlihat sekaligus.
Penanganan jujur x5c. Saat header x5c token digunakan untuk verifikasi, chip hasil TaskKit mengatakan « diverifikasi dengan sertifikat x5c dari header token (chain tidak divalidasi) », tanpa menyiratkan kepercayaan end-to-end. Memvalidasi chain hingga otoritas root akan memerlukan men-download root CA dan berada di luar perimeter tool yang murni browser.
Toggle base64url untuk HMAC. Beberapa key HMAC disimpan sebagai byte ber-encoding base64url (misalnya, key oct dari JWKS dengan field k). Toggle kecil di samping chip algoritma mengubah input secret antara string literal dan byte base64url, sehingga kamu tidak perlu decode manual.
Input key EdDSA mentah. Paste Ed25519 sebagai 64 karakter hex, 43 karakter base64url, JWK, atau PEM. jwt.io hanya menerima PEM atau JWK.

Di mana jwt.io lebih kuat

Perbandingan yang berguna bukan pitch sepihak. Tiga hal yang jwt.io lakukan dengan jelas lebih baik hari ini:

Direktori library. Indeks library JWT yang dikurasi dan dapat dicari per bahasa. Jika kamu mencari implementasi untuk sebuah service, direktori jwt.io adalah alamat yang tepat.
Pengantar yang luas. Halaman kanonis « Apa itu JWT » yang menjelaskan konsep dengan kedalaman yang cukup untuk kamu sampaikan dari awal ke akhir. Teks penjelasan di bawah decoder TaskKit lebih singkat dan terpusat pada tool.
Link per claim ke RFC. Setiap claim terdaftar terhubung ke bagian RFC yang mendefinisikannya. Hal kecil, tapi berguna saat kamu memverifikasi kepatuhan terhadap spec.

Apa yang TaskKit tinggalkan secara sengaja

Garansi privacy lebih mudah dipertahankan jika tidak ada pintu belakang yang dipasang. Beberapa fitur yang ditawarkan tool lain sengaja tidak ada di sini.

Auto-discovery OIDC. Beberapa tool memungkinkan kamu paste URL issuer dan secara diam-diam men-download .well-known/openid-configuration untuk mendapatkan key. Itu adalah request keluar dari browser kamu ke pihak ketiga — dan URL itu sendiri dapat mengungkap detail deployment. TaskKit mengharuskan kamu paste JWKS sendiri.
Field « JWKS via URL ». Justifikasi yang sama. curl satu baris di terminal kamu mengalahkan fetch keluar dari halaman yang sedang kamu debug.
Analytics secara default. Kode mendukung token Cloudflare Web Analytics opsional (privacy-preserving), tapi dimatikan kecuali operator mengaktifkannya secara eksplisit. Versi yang di-host di taskkit.net juga menonaktifkannya.
Akun dan riwayat sisi server. Save dan share terjadi melalui fragment URL saat didukung. Tidak ada yang disimpan di server karena tidak ada server.

Coba tools JWT TaskKit

Decoder JWT

Paste token, inspeksi claim, dan verifikasi tanda tangan terhadap key, JWKS, atau sertifikat x5c embedded.

Encoder JWT

Tanda tangani token secara lokal dengan HS, RS, PS, ES, atau EdDSA. Private key tetap di tab.

Metodologi

Diuji pada 2026-05-05 di Chrome dengan cache dan cookie first-party yang dihapus. Request jaringan dihitung dari pemuatan halaman hingga penekanan tombol pertama. Matriks fitur mencerminkan perilaku kedua tool pada tanggal tersebut dan ditinjau ulang saat salah satu mempublikasikan perubahan yang relevan.

jwt.io adalah merek dagang dari pemilik masing-masing. Halaman ini tidak berafiliasi dengan atau didukung oleh jwt.io.