JWT डिकोडर

JSON Web Tokens के बारे में अधिक जानकारी

JWT फॉर्मेट

JSON Web Token (JWT) दो पक्षों के बीच स्थानांतरित किए जाने वाले दावों का प्रतिनिधित्व करने का एक कॉम्पैक्ट, URL-सुरक्षित साधन है। यह तीन Base64URL-एन्कोडेड भागों से बना है जो डॉट्स से अलग होते हैं: header.payload.signature। हेडर में आमतौर पर टोकन प्रकार (JWT) और साइनिंग एल्गोरिथम होता है। पेलोड में दावे होते हैं—एक इकाई (आमतौर पर उपयोगकर्ता) के बारे में बयान और अतिरिक्त मेटाडेटा। सिग्नेचर का उपयोग यह सत्यापित करने के लिए किया जाता है कि संदेश रास्ते में नहीं बदला गया।

JOSE (JSON Object Signing and Encryption)

JWT बड़े JOSE (JSON Object Signing and Encryption) फ्रेमवर्क का हिस्सा है, जो JSON-आधारित डेटा को सुरक्षित करने का एक मानकीकृत तरीका प्रदान करता है। JOSE में कई संबंधित विनिर्देश शामिल हैं: हस्ताक्षरित टोकन के लिए JWS (JSON Web Signature), एन्क्रिप्टेड टोकन के लिए JWE (JSON Web Encryption), क्रिप्टोग्राफिक कुंजियों का प्रतिनिधित्व करने के लिए JWK (JSON Web Key), और क्रिप्टोग्राफिक एल्गोरिदम निर्दिष्ट करने के लिए JWA (JSON Web Algorithms)।

JSON Web Signature (JWS)

आपके सामने आने वाले अधिकांश JWT JWS टोकन हैं—वे हस्ताक्षरित हैं लेकिन एन्क्रिप्टेड नहीं। इसका मतलब है कि कोई भी Base64URL-डिकोडिंग करके पेलोड पढ़ सकता है, लेकिन वे सिग्नेचर को अमान्य किए बिना इसे संशोधित नहीं कर सकते। JWS अखंडता और प्रामाणिकता प्रदान करता है: आप सत्यापित कर सकते हैं कि टोकन एक विश्वसनीय पक्ष द्वारा जारी किया गया था और इसके साथ छेड़छाड़ नहीं की गई है।

साइनिंग एल्गोरिदम

JWS टोकन पर हस्ताक्षर करने के लिए विभिन्न क्रिप्टोग्राफिक एल्गोरिदम का समर्थन करता है। ये दो श्रेणियों में आते हैं: सममित एल्गोरिदम (हस्ताक्षर और सत्यापन के लिए समान कुंजी) और असममित एल्गोरिदम (हस्ताक्षर के लिए निजी कुंजी, सत्यापन के लिए सार्वजनिक कुंजी)।

HMAC एल्गोरिदम (सममित)

HS256, HS384, और HS512 क्रमशः SHA-256, SHA-384, या SHA-512 के साथ HMAC (Hash-based Message Authentication Code) का उपयोग करते हैं। ये सममित एल्गोरिदम हैं—टोकन पर हस्ताक्षर और सत्यापन दोनों के लिए एक ही गुप्त कुंजी का उपयोग किया जाता है। HMAC एल्गोरिदम तेज और सरल हैं लेकिन सुरक्षित कुंजी वितरण की आवश्यकता होती है क्योंकि दोनों पक्षों को समान रहस्य की आवश्यकता होती है।

RSA एल्गोरिदम (असममित)

RS256, RS384, और RS512 SHA-256, SHA-384, या SHA-512 के साथ RSASSA-PKCS1-v1_5 का उपयोग करते हैं। PS256, PS384, और PS512 RSASSA-PSS (संभाव्य हस्ताक्षर योजना) का उपयोग करते हैं। RSA एल्गोरिदम हस्ताक्षर के लिए निजी कुंजी और सत्यापन के लिए सार्वजनिक कुंजी का उपयोग करते हैं। यह सुरक्षा से समझौता किए बिना सत्यापन कुंजी को सार्वजनिक रूप से साझा करने की अनुमति देता है—वितरित सिस्टम के लिए आदर्श जहां कई सेवाओं को टोकन सत्यापित करने की आवश्यकता होती है।

अंडाकार वक्र एल्गोरिदम (असममित)

ES256, ES384, और ES512 क्रमशः P-256, P-384, या P-521 वक्रों के साथ ECDSA (Elliptic Curve Digital Signature Algorithm) का उपयोग करते हैं। EC एल्गोरिदम RSA के समान सुरक्षा प्रदान करते हैं लेकिन छोटे कुंजी आकारों के साथ, जिसके परिणामस्वरूप छोटे हस्ताक्षर और तेज संचालन होते हैं। ES256 अपनी दक्षता के कारण आधुनिक अनुप्रयोगों के लिए तेजी से लोकप्रिय हो रहा है।

JSON Web Encryption (JWE)

जबकि JWS हस्ताक्षरित टोकन प्रदान करता है, JWE एन्क्रिप्टेड टोकन प्रदान करता है जहां पेलोड गोपनीय होता है। JWE टोकन में तीन के बजाय पांच भाग होते हैं: हेडर, एन्क्रिप्टेड कुंजी, इनिशियलाइज़ेशन वेक्टर, सिफरटेक्स्ट, और ऑथेंटिकेशन टैग। JWE AES-GCM और HMAC के साथ AES-CBC सहित विभिन्न एन्क्रिप्शन एल्गोरिदम का समर्थन करता है। ध्यान दें कि यह डिकोडर केवल JWS टोकन को संभालता है; JWE टोकन को उचित कुंजी के साथ डिक्रिप्शन की आवश्यकता होती है।

RFC विनिर्देश

JWT और JOSE मानक कई IETF RFC में परिभाषित हैं: RFC 7519 JSON Web Token (JWT) को परिभाषित करता है, RFC 7515 JSON Web Signature (JWS) को परिभाषित करता है, RFC 7516 JSON Web Encryption (JWE) को परिभाषित करता है, RFC 7517 JSON Web Key (JWK) को परिभाषित करता है, और RFC 7518 JSON Web Algorithms (JWA) को परिभाषित करता है।