JWT डिकोडर

JSON Web Tokens (JWT) को तुरंत डिकोड करें। यह आपके ब्राउज़र में चलता है: टोकन कभी आपके डिवाइस से बाहर नहीं जाते, इसलिए इसे प्रोडक्शन सीक्रेट के साथ उपयोग करना सुरक्षित है।

इस टूल का उपयोग कैसे करें

1
अपना JWT इनपुट फ़ील्ड में पेस्ट करें।
2
«डिकोड» पर क्लिक करें। header और payload पार्स होकर प्रदर्शित होते हैं।
3
एल्गोरिदम, claims, समाप्ति और जारीकर्ता का निरीक्षण करें।

JWT क्या है और यह कैसे काम करता है?

एक JSON Web Token (JWT, RFC 7519 में परिभाषित) किसी उपयोगकर्ता के बारे में claims के एक समूह को दर्शाने का एक संक्षिप्त और URL-सुरक्षित तरीका है, साथ ही इस बात का क्रिप्टोग्राफ़िक प्रमाण भी देता है कि उन claims के साथ छेड़छाड़ नहीं की गई। JWT अधिकांश आधुनिक वेब स्टैक में प्रमाणीकरण को संचालित करते हैं: जब आप लॉग इन करते हैं, तो सर्वर एक JWT बनाता है जिसमें आपकी उपयोगकर्ता ID और अनुमतियाँ होती हैं, उसे एक गुप्त कुंजी से हस्ताक्षरित करता है और आपको लौटा देता है। आपका ब्राउज़र टोकन को संग्रहीत करता है (आमतौर पर localStorage या किसी cookie में) और इसे प्रत्येक बाद के अनुरोध के Authorization हेडर में शामिल करता है। सर्वर प्रत्येक अनुरोध पर हस्ताक्षर सत्यापित करता है: यदि वह वैध है, तो टोकन के claims पर भरोसा किया जाता है; यदि उसके साथ छेड़छाड़ की गई, तो हस्ताक्षर टूट जाता है और अनुरोध अस्वीकार कर दिया जाता है। JWT के तीन भाग होते हैं जो Base64URL में एनकोड किए जाते हैं और बिंदुओं से अलग किए जाते हैं: हेडर हस्ताक्षर एल्गोरिदम घोषित करता है (HMAC-SHA256 के लिए HS256, RSA के लिए RS256, ECDSA के लिए ES256, बिना हस्ताक्षरित टोकन के लिए none, जो ख़तरनाक है और आपको उन्हें अस्वीकार कर देना चाहिए); payload में वास्तविक claims होते हैं (मानक claims जैसे विषय के लिए 'sub', समाप्ति के लिए 'exp', जारी होने की तिथि के लिए 'iat', साथ ही आपका एप्लिकेशन जो भी कस्टम claims परिभाषित करता है); हस्ताक्षर इस बात का प्रमाण है कि हेडर और payload पर किसी ऐसे व्यक्ति ने हस्ताक्षर किए जिसके पास सीक्रेट था। यह डिकोडर पहले दो भागों को प्रकट करता है, जो सार्वजनिक जानकारी हैं; हस्ताक्षर को केवल कुंजी से सत्यापित किया जा सकता है, यही कारण है कि हर JWT डिकोडर claims को बिना सत्यापन के दिखाता है।

सामान्य उपयोग के मामले

अपने क्लाइंट द्वारा भेजे जा रहे JWT को डिकोड करके प्रमाणीकरण समस्याओं को डिबग करें — ठीक-ठीक देखें कि कौन-से claims मौजूद हैं, किसने जारी किया और यह कब समाप्त होता है।
डाउनस्ट्रीम सेवाओं के लिए claims संरचना समझने हेतु API गेटवे JWT (AWS Cognito, Auth0, Okta) का निरीक्षण करें।
सत्यापित करें कि कस्टम claims (संगठन ID, भूमिका, फ़ीचर फ़्लैग) टोकन-जारीकरण कोड में सही ढंग से सेट हो रहे हैं।
रिफ़्रेश से पहले और बाद के टोकन की तुलना करके पुष्टि करें कि समाप्ति बढ़ाई गई।
टोकन के एल्गोरिदम का ऑडिट करें — पुष्टि करें कि उत्पादन में RS256 या ES256 उपयोग हो, कभी 'none' नहीं।
सर्वर लॉग से base64url payload को मानव-पठनीय claims में बदलें।

अक्सर पूछे जाने वाले प्रश्न

क्या प्रोडक्शन JWT के साथ इसका उपयोग करना सुरक्षित है?▼

हाँ। डिकोडिंग पूरी तरह से स्थानीय JavaScript के माध्यम से आपके ब्राउज़र में होती है: टोकन कभी हमारे सर्वर तक नहीं पहुँचता और न ही किसी लॉग में दिखाई देता है। आप डिकोड करते समय DevTools → Network टैब खोलकर इसकी जाँच कर सकते हैं: कोई आउटगोइंग अनुरोध नहीं भेजा जाता। फिर भी, JWT को क्रेडेंशियल की तरह मानें: चाहे डिकोडर कहीं भी चले, उन्हें URL, स्क्रीनशॉट या साझा दस्तावेज़ों में पेस्ट न करें।

क्या यह हस्ताक्षर सत्यापित करता है?▼

नहीं। हस्ताक्षर सत्यापन के लिए सीक्रेट (HS256 के लिए) या सार्वजनिक कुंजी (RS256/ES256/PS256 के लिए) की आवश्यकता होती है। जो वेब टूल किसी JWT को सत्यापित करने के लिए आपका सीक्रेट माँगते हैं, वे एक सुरक्षा चेतावनी संकेत हैं: आप अपनी हस्ताक्षर कुंजी किसी अनजान को भेज रहे होंगे। हस्ताक्षरों को सर्वर पर या अपने नियंत्रण वाली किसी लाइब्रेरी (jose, jsonwebtoken) से सत्यापित करें।

अगर मेरा JWT समाप्त हो गया है तो क्या होगा?▼

समाप्ति डिकोडिंग को नहीं रोकती: 'exp' claim बस payload के भीतर का एक डेटा है। डिकोड किए गए payload में 'exp' खोजें: यह एक Unix टाइमस्टैम्प है (1970 से सेकंड)। समाप्ति को अपने समय क्षेत्र में देखने के लिए हमारे Timestamp कन्वर्टर से इसे बदलें। यदि 'exp' बीत चुका है, तो टोकन को किसी भी अनुपालक सत्यापनकर्ता द्वारा अस्वीकार कर दिया जाता है, भले ही डिकोडर उसे पढ़ता रहे।

क्या JWT को एन्क्रिप्ट किया जा सकता है?▼

हाँ: उसे JWE (JSON Web Encryption, RFC 7516) कहा जाता है। यह टूल JWS (JSON Web Signature, सामान्य मामला) को संभालता है, जहाँ payload हस्ताक्षरित होता है लेकिन दृश्यमान होता है। JWE टोकन में 3 के बजाय बिंदुओं से अलग किए गए 5 भाग होते हैं और उन्हें डिक्रिप्ट करने के लिए प्राप्तकर्ता की निजी कुंजी की आवश्यकता होती है। यदि आपके टोकन में 5 भाग हैं, तो आपको JWE-संगत टूल की आवश्यकता है।

'alg': 'none' का क्या अर्थ है और क्या यह ख़तरनाक है?▼

'none' का अर्थ है कि कोई हस्ताक्षर नहीं है: टोकन बिना हस्ताक्षरित है और कोई भी किसी भी claim को जाली बना सकता है। प्रोडक्शन सिस्टम को 'alg: none' वाले टोकन को स्पष्ट रूप से अस्वीकार कर देना चाहिए। कुछ लाइब्रेरी उन्हें डिफ़ॉल्ट रूप से स्वीकार कर लेती हैं (एक बहुत प्रसिद्ध CVE श्रेणी)। हमेशा केवल उन्हीं एल्गोरिदम की अनुमति दें जिनकी आपका एप्लिकेशन अपेक्षा करता है।

सेशन cookies के बजाय JWT का उपयोग क्यों करें?▼

JWT स्टेटलेस होते हैं: सर्वर को किसी सेशन से परामर्श करने की आवश्यकता नहीं होती; टोकन में स्वयं उपयोगकर्ता की पहचान और अनुमतियाँ होती हैं। यह JWT को वितरित सिस्टम और API के लिए आदर्श बनाता है। सेशन cookies स्टेटफुल होती हैं (इन्हें सर्वर पर सेशन संग्रहण की आवश्यकता होती है) लेकिन इन्हें अमान्य करना आसान होता है (बस सेशन हटा दें)। समझौता यह है: JWT बेहतर स्केल करते हैं, लेकिन आप टोकन की समाप्ति तक 'किसी उपयोगकर्ता को लॉग आउट' नहीं कर सकते।

JWT के मानक claims क्या हैं?▼

RFC 7519 परिभाषित करता है: iss (जारीकर्ता), sub (विषय, आमतौर पर उपयोगकर्ता ID), aud (दर्शक), exp (समाप्ति समय), nbf (इससे पहले नहीं), iat (इस समय जारी), jti (JWT ID)। इनके अलावा, एप्लिकेशन 'roles', 'permissions' या 'tenant_id' जैसे कस्टम claims जोड़ते हैं। कस्टम claims को छोटा रखें: JWT हर अनुरोध के हेडर में यात्रा करते हैं और आपकी बैंडविड्थ खपत बढ़ाते हैं।

JWT डिकोडर

इस टूल का उपयोग कैसे करें

JWT क्या है और यह कैसे काम करता है?

सामान्य उपयोग के मामले

अक्सर पूछे जाने वाले प्रश्न

संबंधित टूल

JSON फ़ॉर्मेटर और वैलिडेटर

XML फ़ॉर्मैटर

Base64 एनकोडर और डिकोडर

URL एनकोडर और डिकोडर

HTML एंटिटी एनकोडर और डिकोडर

CSS मिनिफ़ायर