JWT डिकोडर

JWT क्या है

JSON वेब टोकन (JWT) एक खुला मानक (RFC 7519) है जो किसी व्यक्ति के बारे में क्लेम्स को सुरक्षित रूप से प्रस्तुत करने के लिए एक कॉम्पैक्ट और स्वयं-निहित तरीका प्रदान करता है। यह अक्सर वेब एप्लिकेशन में प्रमाणीकरण और अधिकृतकरण के लिए उपयोग किया जाता है।

JWT एक तीन-खंड वाली स्ट्रिंग है जो बेस64 एन्कोडेड JSON वस्तुओं से बनी होती है, जिन्हें डॉट्स (.) से अलग किया जाता है:

• हेडर: एल्गोरिदम और टोकन प्रकार को निर्दिष्ट करता है
• पेलोड: क्लेम्स (क्लेम्स विशिष्ट मेटाडेटा और साथ ही साथ साथी के बारे में कोई भी जानकारी हो सकती है)
• सिग्नेचर: सुरक्षा के लिए उपयोग किया जाता है, कि टोकन को संशोधित नहीं किया गया है

JWT का संरचना

JWT का स्वरूप निम्नानुसार होता है:

जहां:

• xxxxx (हेडर): बेस64Url एन्कोडेड JSON है जिसमें विशेष रूप से प्रयुक्त एल्गोरिदम (जैसे HS256, RS256) और टोकन प्रकार (JWT) शामिल हैं।
• yyyyy (पेलोड): बेस64Url एन्कोडेड JSON है जिसमें क्लेम्स शामिल हैं।
• zzzzz (सिग्नेचर): हेडर और पेलोड के एन्कोडेड प्रतिनिधित्व की साइन की गई स्ट्रिंग है।

सामान्य JWT क्लेम्स

JWT में निम्नलिखित सामान्य क्लेम्स शामिल हो सकते हैं:

JWT का उपयोग कब करें

• सिंगल साइन-ऑन (SSO): एकल प्रमाणीकरण से कई सेवाओं को एक्सेस करने के लिए
• API सुरक्षा: API कॉल्स को सुरक्षित करने के लिए
• मोबाइल ऐप्स में प्रमाणीकरण: मोबाइल क्लाइंट और सर्वर के बीच सुरक्षित संचार
• क्रॉस-डोमेन एथेंटिकेशन: विभिन्न डोमेनों के बीच सरल प्रमाणीकरण
• साइलेंट रीफ्रेश: यूजर अनुभव को बेहतर बनाने के लिए लंबे समय तक सत्र बनाए रखना

JWT सुरक्षा सुझाव

• सुरक्षित एल्गोरिदम का उपयोग करें (जैसे RS256) और कभी भी none एल्गोरिदम का उपयोग न करें
• सिक्रेट की को सुरक्षित रखें, न कभी क्लाइंट को साझा करें
• छोटे समयावधि के साथ JWT का उपयोग करें, विशेष रूप से संवेदनशील अनुप्रयोगों में
• प्रत्येक अनुरोध पर JWT की मान्यता की जांच करें
• HTTPS का उपयोग करें
• JWT में संवेदनशील जानकारी न डालें, क्योंकि यह सिर्फ साइन किया गया है, एन्क्रिप्ट नहीं किया गया है
• jti (JWT आईडी) का उपयोग करें और रद्द किए गए टोकन के लिए कैश में स्टोर करें