JWT (JSON वेब टोकन) हेडर और पेलोड को डिकोड करें, और समाप्ति स्थिति की जाँच करें।
bearer-token failure पर काम कर रहे हैं? claim triage के लिए गाइड का उपयोग करें, फिर live token जाँचने के लिए यहाँ लौटें।
{
"alg": "HS256",
"typ": "JWT"
}
{
"sub": "user-123",
"iat": 1700000000,
"exp": 1700000300
}
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
eyJzdWIiOiJ1c2VyLTEyMyIsImlhdCI6MTcwMDAwMDAwMCwiZXhwIjoxNzAwMDAwMzAwfQ
signature
JSON वेब टोकन (JWT) पार्टियों के बीच जानकारी को JSON ऑब्जेक्ट के रूप में सुरक्षित रूप से प्रसारित करने के लिए एक ओपन स्टैंडर्ड (RFC 7519) है। JWT को एक सीक्रेट (HMAC) या पब्लिक/प्राइवेट की (key) जोड़ी (RSA/ECDSA) का उपयोग करके हस्ताक्षरित किया जा सकता है। इनका उपयोग आमतौर पर वेब अनुप्रयोगों में प्रमाणीकरण और सूचना विनिमय के लिए किया जाता है।
एक JWT में डॉट्स द्वारा अलग किए गए तीन भाग होते हैं: हेडर (एल्गोरिदम और टोकन प्रकार), पेलोड (दावे/डेटा), और सिग्नेचर (सत्यापन)। प्रत्येक भाग Base64Url एन्कोडेड है। सिग्नेचर सुनिश्चित करता है कि टोकन के साथ छेड़छाड़ नहीं की गई है, लेकिन हेडर और पेलोड को कोई भी डिकोड कर सकता है।
मानक JWT (JWS) हस्ताक्षरित होते हैं लेकिन एन्क्रिप्टेड नहीं - कोई भी पेलोड पढ़ सकता है। एन्क्रिप्टेड टोकन के लिए, JWE (JSON वेब एन्क्रिप्शन) का उपयोग करें। नियमित JWT में कभी भी संवेदनशील डेटा स्टोर न करें।
JWT डिज़ाइन द्वारा स्टेटलेस हैं और उन्हें सीधे अमान्य नहीं किया जा सकता है। सामान्य रणनीतियों में कम समाप्ति समय, टोकन ब्लैकलिस्ट, या साइनिंग की (key) बदलना (सभी टोकन को अमान्य कर देता है) शामिल हैं।