Dari pengalaman saya, sampe berbusa kasih tau junior antara encryption dan encoding. Sampe berkali-kali menjelaskan bahwa JWT itu tidak "mengenkripsi" atau menyembunyikan informasi di dalamnya. Tapiiii, JWT itu digunakan untuk "menjaga integritas" informasi nya, untuk mendeteksi ada "tamper" nggak di dalam informasi tersebut. Mantap bro Eko

2 tahun yang lalu, bro setia menunggu jawaban dari kang eko

belajar JWT dari sini juga, benar Pak Eko JWT itu utk mempermudah proses cek otoritas makanya jagan store data penting seperti password di token JWT 👍👍

mantap penjelasanny kang.. trims bagi yg sudah bertanya.. spt kang eko sampaikan, diu JWT tertulis merupakan industry standard RFC 7519 yang diakui, jd pertanyaan aman / tidak, jgn diragukan lagi.

pertanyaan 2 tahun lalu anjayy sampe lupa pernah tanya soalnya dah nemu jawabannya, pentingnya mencari tau terlebih dahulu sebelum bertanya 🤣

betul intinya jwt emng bsa di decode, tp gk bsa di modifikasi jadi ketika kita menggunakan jwt, data tersebut akan menjadi data yg sesuai saat di kirim. jadi tujuannya emng untuk menjaga integritas, alias data yg dikirim akan selalu valid dan gk akan bisa diubah (jd gk valid).

Model web app fe+be pake jwt menurut saya kurang aman. Selain itu sulit mengamankan aset2 atau halaman fe yang harusnya dapat ketika sudah login. Selain itu rawan beragam jenis serangan. Paling bener pake sesi. Jwt hanya dipakai ketika terpaksa atau cuma sekali pakai (misal SSO) Jwt bisa diproteksi dari serangan2 itu tapi lagi2 pake session cookie. Jadi mending langsung ke session cookie. Jwt bisa digunakan antar servis atau backend, antar aplikasi, untuk authnya mobile app (dg proteksi tambahan)

Kaget suaranya bahasa inggris ternyata ada audio track english😅

Kalau JWT kan ada Secret Key nya ya buat validasi. Kalau aman atau nggak aman itu lebih ke tempat naro si JWT itu. Misal kena serangan Man in The Middle dan berhasil di curi itu token gakan diotak atik juga isinya.

JWT tipenya ada JWS, JWE, JWK(s) yang ke enkripsi itu JWE, yg bisa di decode JWS

betul JWT itu bukan untuk encryption, kalau mau payload nya gk di decode ganti pake JWE dan jg data payload isinya data yang di butuhkan saja.

Thanks penjelasannya Pa Eko... penjelasannya bagus... btw, mau tanya sedikit, apakah JWE adalah perkembangan dari JWT ? JWE rasanya ada hubungan dengan enkripsi... Mohon pencerahannya Pa Eko... Thanks

ohya pak, mau tanya gmna cara ngamanin dari front end (client side) request ke backend biar aman, otomatis kan orang kalo dari client side bakal tau itu cara request ke backend nya gmna, saya dari dulu bingung, sebenerny saya sudah tau juga, dengan memakai token expired, sama csrf / token 1 kali pakai, tapi adakah cara lain?, soalnya menurut saya mau di kasih expired 5 menit pun kalo masih ada waktu sisa, si hacker bakal bisa akses backend?

jwaban yg saya cari selama ini

daging parah, menjawab keresahan saya selama ini, mantap pak eko

kalau algonya hanya header dan json jadinya gak aman gak sih? soalnya nanti hacker bisa generate lagi datanya dengan cara yang sama, algo(header, datapalsu). nanti dapet signature yg baru tinggal ganti deh. Mungkin lebih masuk akal kalau algonya butuh secret_key, misal algo(header, json, secret_key). kalo gini harusnya hacker gk bisa generate signaturenya lagi karena butuh secret_key, sedangkan yang tau secret_key hanya client dan server CMIIW

makasih ilmunya pakkk kerennn buat pemula

Terimakasihhh

Key agreement atau distribusi kunci antara client dan servernya gimana?

pa eko, kira kira boleh ga minta foto kalo ketemu di kantor sebelum intern saya habis

Kayaknya ada yg kelewat deh kang, Aku masih bingung gimana App 2 tau kalo payloaf json nya berubah. Kan payload nya di modifikasi sebelum masuk ke App 2, yg artinya App 2 baru banget dapet jwt yg isi json nya kayak gitu

Selagi Secret Codenya / signaturenya gak bocor ya token itu gak bisa dipakek walau ada payloadnya, karena otoriasasi dengan jwt kan butuh token sama secret key, selagi di payload gak menaruh data sensitif seperti password dan property credential lainnya

Alternativenya bisa pakai Paseto

pak coba bkin contoh aplikasi penerapan nya donk.. teori nya paham tapi praktek nya kek nya susah ya..

inti nya jwt bisa di intip payload nya tapi ga bisa dimodif ya bang

keget suaranya ingris awkwk

Ini beneran pakai bahasa Inggris atau dubing, Pak?

ada yg punya rekomendasi belajar flutter ga dari mana? soalnya bapak zaman now kayanya ga ada tutor flutter

mantap pak eko

Ini berarti jwt emng tujuannya integritas ya bang eko

Mantap pak eko

btw masukin user role / permission di jwt aman ga ?

J&T sama J&E satu perusahaan ga sih...? 🤔

apakah secret key nya harus sama?

🙂

Pak eko maaf masih ada yg ganjel di saya Di contoh kan payload datanya user pass nih, dan keliatan Nah semisal si hacker cuma ambil datanya ini dan dia input nya ttp dari app 1 soalnya udah tau datanya, berarti valid donk? Apakah login ini biasanya gk kaya gitu sistem nya, mohon penjelasan 🙏

Izin bertanya pak eko atau temen-tenan yg sudah tahu boleh bantu jawab yaa, Untuk secret key pada app 1 dan app 2 dua itu didapat dari mana pak? Apakah kita generate sendiri atau bagaimana? Kemudian isi secret key itu bebas atau ada ketentuannya pak?

Berarti app 1 & app 2 harus punya secret key yg sama ya?

bagai mana jika screetkeynya ketauan karena misal di bruteforce

bagaimana ya cara implementsi jwt dan sistem login pada apk yang punya offline mode ?

Cara hackernya ngerubah request nya gimana tuh. Bahas dong pak eko 5:39

JWT ada ga sih yg ga make secret key? (saking malesnya gitu misal)

bang bahas id token vs access token di oauth dung

Hmm menarique

JWE lah yang mengamankan data (data ter encryption)

alg: none 🗿

ya kalo udah gak guna itu jwt, pasti ud di bubarin itu jwt😂

Buat TS yg nanya lu gk perlu ke jwt decode, lu tinggal decode aja dari base64 ke string udah ke decode.. Lu kira jwt itu untuk enkripsi wkwk Lu rubah payload nya lu pake gk bakal bisa cak... Token nya udah rusak

Apakah JWT bisa dipakai untuk aplikasi FE untuk membungkus payload API POST ke BE?

jwt nama gw