Digital Transformation
JWT (JSON Web Token)
JWT adalah standar token terenkripsi untuk mengirim klaim identitas antar sistem, umum dipakai untuk autentikasi API dan login modern tanpa session server.
TL;DR: JWT (JSON Web Token) adalah format token ringkas berbasis JSON yang dipakai untuk menyampaikan klaim identitas atau otorisasi antar sistem secara aman. Banyak aplikasi modern memakai JWT untuk autentikasi API, single sign-on, dan arsitektur stateless karena token ini membawa data sendiri sehingga server tidak perlu menyimpan session.
Apa itu JWT?
JWT adalah standar terbuka (RFC 7519) yang mendefinisikan cara mengirim informasi antar pihak dalam bentuk JSON yang sudah ditandatangani secara digital. Satu token JWT terdiri dari tiga bagian yang dipisahkan tanda titik, yaitu header, payload, dan signature, lalu di-encode Base64URL.
Analogi sederhananya seperti tiket konser VIP. Isi tiket menyebutkan siapa pemilik dan akses apa yang diberikan, lalu ada stempel hologram yang membuktikan tiket asli. Siapa pun yang melihat stempel itu bisa memvalidasi keaslian tanpa harus menelepon panitia. JWT bekerja serupa, sistem penerima cukup memverifikasi signature dengan kunci yang sesuai untuk memastikan token belum dimodifikasi. Aspek keamanan transport JWT umumnya dipadukan dengan SSL/HTTPS agar token tidak bocor saat transit.
Struktur JWT
| Bagian | Isi | Fungsi |
|---|---|---|
| Header | Algoritma dan tipe token | Menentukan cara signature dibuat (contoh HS256, RS256) |
| Payload | Klaim (claims) seperti sub, exp, role | Data identitas dan otorisasi pengguna |
| Signature | Hash header + payload + secret | Membuktikan token tidak diubah |
Payload berisi klaim standar seperti iss (issuer), sub (subject), exp (expiration), dan klaim kustom yang dibutuhkan aplikasi. Karena payload hanya di-encode Base64 dan bukan dienkripsi, jangan pernah menyimpan password atau data sensitif di dalamnya.
Kapan JWT Dipakai?
JWT banyak muncul di arsitektur API modern, aplikasi SaaS, dan sistem microservice yang membutuhkan otorisasi stateless. Contoh kasus umum meliputi autentikasi REST API, single sign-on antar subdomain, dan otorisasi antar layanan di arsitektur microservice. Di ekosistem Next.js dan Python, library seperti jsonwebtoken atau PyJWT memudahkan implementasi sign dan verify token.
Referensi resmi standar JWT tersedia di RFC 7519 - IETF dan panduan praktik aman dari Auth0 JWT Handbook.
Kenapa Penting untuk Marketer dan Pebisnis?
Marketer yang memahami JWT akan lebih mudah berkoordinasi dengan tim engineering saat integrasi tools seperti CRM, marketing automation, atau dashboard analitik yang memakai akses API. Token JWT sering menjadi mekanisme yang memungkinkan data pelanggan mengalir antar platform secara real-time tanpa membuka celah keamanan. Per April 2026, banyak platform martech global memakai JWT untuk otorisasi webhook dan integrasi server-to-server.
Pertanyaan Umum
Apakah JWT sama dengan session cookie?
Tidak. Session cookie menyimpan ID yang merujuk ke data session di server, sementara JWT membawa data klaim langsung di dalam token. JWT cocok untuk arsitektur stateless, sedangkan session cookie cocok saat server memang perlu memegang state.
Apakah JWT aman dari pencurian?
JWT aman dari modifikasi karena ada signature, tetapi tidak otomatis aman dari pencurian. Jika token bocor, penyerang bisa memakainya sampai masa berlaku habis. Praktik standar industri menyarankan masa berlaku pendek, penyimpanan di HttpOnly cookie, dan pengiriman selalu lewat HTTPS.
Apa bedanya JWT dengan OAuth?
JWT adalah format token, sedangkan OAuth adalah protokol otorisasi. OAuth sering memakai JWT sebagai format access token atau ID token, terutama di OpenID Connect.
Istilah Terkait