JSON वेब टोकन (JWT) पार्टियों के बीच जानकारी को JSON ऑब्जेक्ट के रूप में सुरक्षित रूप से प्रसारित करने के लिए एक ओपन स्टैंडर्ड (RFC 7519) है। JWT को एक सीक्रेट (HMAC) या पब्लिक/प्राइवेट की (key) जोड़ी (RSA/ECDSA) का उपयोग करके हस्ताक्षरित किया जा सकता है। इनका उपयोग आमतौर पर वेब अनुप्रयोगों में प्रमाणीकरण और सूचना विनिमय के लिए किया जाता है।

संरचना

एक JWT में डॉट्स द्वारा अलग किए गए तीन भाग होते हैं: हेडर (एल्गोरिदम और टोकन प्रकार), पेलोड (दावे/डेटा), और सिग्नेचर (सत्यापन)। प्रत्येक भाग Base64Url एन्कोडेड है। सिग्नेचर सुनिश्चित करता है कि टोकन के साथ छेड़छाड़ नहीं की गई है, लेकिन हेडर और पेलोड को कोई भी डिकोड कर सकता है।

सामान्य उपयोग के मामले

उपयोगकर्ता प्रमाणीकरण और प्राधिकरण
सिंगल साइन-ऑन (SSO) सिस्टम
API प्रमाणीकरण
सेवाओं के बीच सुरक्षित सूचना विनिमय
स्टेटलेस सत्र प्रबंधन

मानक दावे (Claims)

iss जारीकर्ता (Issuer) - किसने टोकन बनाया और हस्ताक्षरित किया

sub विषय (Subject) - टोकन किसके बारे में है (आमतौर पर उपयोगकर्ता ID)

aud ऑडियंस (Audience) - टोकन का इच्छित प्राप्तकर्ता

exp समाप्ति (Expiration) - यूनिक्स टाइमस्टैम्प जब टोकन समाप्त होता है

iat जारी करने का समय (Issued At) - यूनिक्स टाइमस्टैम्प जब टोकन बनाया गया था

अक्सर पूछे जाने वाले प्रश्न

क्या JWT एन्क्रिप्टेड हैं?

मानक JWT (JWS) हस्ताक्षरित होते हैं लेकिन एन्क्रिप्टेड नहीं - कोई भी पेलोड पढ़ सकता है। एन्क्रिप्टेड टोकन के लिए, JWE (JSON वेब एन्क्रिप्शन) का उपयोग करें। नियमित JWT में कभी भी संवेदनशील डेटा स्टोर न करें।

मैं JWT को अमान्य (invalidate) कैसे करूँ?

JWT डिज़ाइन द्वारा स्टेटलेस हैं और उन्हें सीधे अमान्य नहीं किया जा सकता है। सामान्य रणनीतियों में कम समाप्ति समय, टोकन ब्लैकलिस्ट, या साइनिंग की (key) बदलना (सभी टोकन को अमान्य कर देता है) शामिल हैं।