Digital Transformation

JWT (JSON Web Token)

Vito Atmo
Vito Atmo·10 Juni 2026·0 kali dibaca·2 min baca

TL;DR: JWT (JSON Web Token) adalah token berbentuk teks ringkas yang membawa informasi identitas pengguna dalam tiga bagian: header, payload, dan signature. Karena ditandatangani secara digital, server bisa memverifikasi keasliannya tanpa menyimpan sesi, sehingga cocok untuk autentikasi pada API dan aplikasi modern.

Apa itu JWT?

JWT adalah standar terbuka (RFC 7519) untuk mengirim klaim identitas antar pihak dalam bentuk objek JSON yang ditandatangani. Bayangkan tiket konser ber-hologram: petugas cukup melihat hologramnya untuk yakin tiket itu asli, tanpa perlu menelepon panitia. JWT bekerja serupa, server cukup memeriksa tanda tangan token untuk tahu data di dalamnya tidak dipalsukan. JWT umum dipakai bersama OAuth sebagai access token, dan jalur yang menerbitkannya biasanya dilindungi rate limiting.

Struktur dan Cara Kerja

Sebuah JWT terdiri dari tiga bagian yang dipisah titik, masing-masing di-encode Base64URL.

BagianIsiFungsi
HeaderAlgoritma tanda tangan (mis. HS256)Memberi tahu cara verifikasi
PayloadKlaim: user id, role, waktu kedaluwarsa (exp)Data identitas
SignatureHash header + payload + secretBukti keaslian

Server menerbitkan token saat login, klien menyimpannya, lalu mengirimkannya di header Authorization pada setiap permintaan. Penting: payload hanya di-encode, bukan dienkripsi, jadi jangan pernah menaruh data sensitif seperti kata sandi di dalamnya.

Kenapa Penting?

Untuk marketer dan pebisnis Indonesia yang membangun produk digital, JWT memungkinkan login tetap mulus di banyak layanan (web, aplikasi, API) tanpa membebani server dengan penyimpanan sesi. Dalam beberapa proyek dashboard klien, pendekatan stateless ini membuat sistem lebih mudah diskalakan saat trafik naik. Acuan resmi soal keamanan implementasi bisa dibaca di dokumentasi JWT dari Auth0.

Pertanyaan Umum

Apakah JWT aman?

Aman jika dipakai benar: gunakan HTTPS, set masa berlaku pendek, dan simpan secret dengan aman. Kelemahan biasanya datang dari implementasi, bukan dari standarnya.

Session cookie menyimpan ID dan server mencocokkannya ke data sesi tersimpan. JWT membawa datanya sendiri, jadi server tidak perlu menyimpan apa pun untuk memverifikasi.

Bagikan