JWT (JSON वेब टोकन) हेडर और पेलोड को डिकोड करें, और समाप्ति स्थिति की जाँच करें।
bearer-token failure पर काम कर रहे हैं? claim triage के लिए गाइड का उपयोग करें, फिर live token जाँचने के लिए यहाँ लौटें।
{
"alg": "HS256",
"typ": "JWT"
}
{
"iss": "https://issuer.example.com",
"aud": "api://comutil",
"sub": "user-123",
"iat": 1700000000,
"nbf": 1700000000,
"exp": 4102444800
}
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
eyJpc3MiOiJodHRwczovL2lzc3Vlci5leGFtcGxlLmNvbSIsImF1ZCI6ImFwaTovL2NvbXV0aWwiLCJzdWIiOiJ1c2VyLTEyMyIsImlhdCI6MTcwMDAwMDAwMCwibmJmIjoxNzAwMDAwMDAwLCJleHAiOjQxMDI0NDQ4MDB9
signature
JSON वेब टोकन (JWT) पार्टियों के बीच जानकारी को JSON ऑब्जेक्ट के रूप में सुरक्षित रूप से प्रसारित करने के लिए एक ओपन स्टैंडर्ड (RFC 7519) है। JWT को एक सीक्रेट (HMAC) या पब्लिक/प्राइवेट की (key) जोड़ी (RSA/ECDSA) का उपयोग करके हस्ताक्षरित किया जा सकता है। इनका उपयोग आमतौर पर वेब अनुप्रयोगों में प्रमाणीकरण और सूचना विनिमय के लिए किया जाता है।
एक JWT में डॉट्स द्वारा अलग किए गए तीन भाग होते हैं: हेडर (एल्गोरिदम और टोकन प्रकार), पेलोड (दावे/डेटा), और सिग्नेचर (सत्यापन)। प्रत्येक भाग Base64Url एन्कोडेड है। सिग्नेचर सुनिश्चित करता है कि टोकन के साथ छेड़छाड़ नहीं की गई है, लेकिन हेडर और पेलोड को कोई भी डिकोड कर सकता है।
मानक JWT (JWS) हस्ताक्षरित होते हैं लेकिन एन्क्रिप्टेड नहीं - कोई भी पेलोड पढ़ सकता है। एन्क्रिप्टेड टोकन के लिए, JWE (JSON वेब एन्क्रिप्शन) का उपयोग करें। नियमित JWT में कभी भी संवेदनशील डेटा स्टोर न करें।
JWT डिज़ाइन द्वारा स्टेटलेस हैं और उन्हें सीधे अमान्य नहीं किया जा सकता है। सामान्य रणनीतियों में कम समाप्ति समय, टोकन ब्लैकलिस्ट, या साइनिंग की (key) बदलना (सभी टोकन को अमान्य कर देता है) शामिल हैं।