JWT ডিকোডিং বোঝা
JSON Web Tokens (JWT) হলো কমপ্যাক্ট এবং URL-সেফ টোকেন যা সাধারণত অ্যাপ্লিকেশনগুলোর মধ্যে অথেনটিকেশন, অথরাইজেশন এবং নিরাপদ ডেটা বিনিময়ের জন্য ব্যবহৃত হয়। একটি JWT ডট (.) দ্বারা বিভক্ত তিনটি অংশ নিয়ে গঠিত:
হেডার.পেলোড.সিগনেচার
- হেডার – টোকেনের ধরন এবং সাইনিং অ্যালগরিদম থাকে
- পেলোড – এর মধ্যে ইউজার আইডি, ইস্যুকারী, অডিয়েন্স এবং এক্সপায়ারেশন টাইমের মতো ক্লেইমগুলো থাকে
- সিগনেচার – যাচাই করে যে টোকেনটি পরিবর্তন করা হয়নি
একটি JWT ডিকোড করা ডেভেলপারদের এই মানগুলো পরীক্ষা করতে এবং টোকেনটি বৈধ, মেয়াদোত্তীর্ণ বা ভুলভাবে ইস্যু করা হয়েছে কিনা তা নিশ্চিত করতে সাহায্য করে।
JWT টোকেনের উদাহরণ
নিচে একটি JWT-এর সাধারণ উদাহরণ দেওয়া হলো:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNjAwMDAwMDAwLCJleHAiOjE5MDAwMDAwMDB9
.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
ডিকোড করা হয়েছে হেডার
{
"alg": "HS256",
"typ": "JWT"
}
এটি নির্দেশ করে যে টোকেনটি HS256 সাইনিং অ্যালগরিদম ব্যবহার করে এবং এটি একটি স্ট্যান্ডার্ড JWT।
ডিকোড করা হয়েছে পেলোড
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1600000000,
"exp": 1900000000
}
মূল ফিল্ডগুলোর ব্যাখ্যা:
- sub – সাবজেক্ট বা ইউজারের আইডেন্টিফায়ার
- name – ইউজারের ডিসপ্লে নেম
- iat – টোকেনটি ইস্যু করার সময়
- exp – এক্সপায়ারেশন টাইমস্ট্যাম্প যার পরে টোকেনটি অবৈধ হয়ে যায়
সিগনেচার ভেরিফিকেশন
JWT-এর শেষ অংশটি হলো সিগনেচার, যা নিশ্চিত করে:
- টোকেনের বিষয়বস্তু পরিবর্তন (tamper) করা হয়নি
- টোকেনটি একটি বিশ্বস্ত সোর্স থেকে ইস্যু করা হয়েছে
ভেরিফিকেশন সম্পন্ন করা হয় যা ব্যবহার করে:
- HS256 টোকেনের জন্য একটি শেয়ার্ড সিক্রেট
- RS256 টোকেনের জন্য JWKS এন্ডপয়েন্ট থেকে একটি পাবলিক কী
যদি ভেরিফিকেশন ব্যর্থ হয়, তবে টোকেনটি বিশ্বাস করা উচিত নয়।
কখন JWT ডিকোডার ব্যবহার করবেন
ডেভেলপাররা সাধারণত JWT ডিকোড করেন:
- লগইন বা অথেনটিকেশন সমস্যা ডিবাগ করতে
- টোকেনের মেয়াদ শেষ এবং রিনিউয়াল টাইম নিশ্চিত করতে
- আইডেন্টিটি প্রোভাইডারদের পাঠানো ক্লেইমগুলো পরীক্ষা করতে
- API ইন্টিগ্রেশনের সময় সিগনেচার যাচাই করতে
এই টুলটি আপনার টোকেন সেভ না করেই দ্রুত এবং নিরাপদ ইন্সপেকশন করতে দেয়, যা ডেভেলপমেন্ট, টেস্টিং এবং ট্রাবলশুটিংয়ের জন্য উপযুক্ত।
সচরাচর জিজ্ঞাসিত প্রশ্নাবলী (FAQ)
JSON Web Token (JWT) হলো একটি কমপ্যাক্ট, URL-সেফ স্ট্রিং যা সিস্টেমগুলোর মধ্যে নিরাপদে তথ্য পাঠাতে ব্যবহৃত হয়। এটি অথেনটিকেশন এবং API নিরাপত্তার জন্য বহুল ব্যবহৃত।
একটি JWT ডিকোডার এনকোড করা টোকেনকে পাঠযোগ্য JSON-এ রূপান্তর করে যাতে আপনি হেডার, পেলোড ক্লেইম এবং সিগনেচার ডিটেইলস দেখতে পারেন। এটি ডেভেলপারদের ডিবাগিং করতে সাহায্য করে।
না। ডিকোডিং শুধুমাত্র টোকেনের বিষয়বস্তু প্রকাশ করে।
ভেরিফিকেশন একটি সিক্রেট কী বা পাবলিক কী ব্যবহার করে ক্রিপ্টোগ্রাফিক সিগনেচার চেক করে নিশ্চিত করে যে টোকেনটি আসল।
হ্যাঁ। ডিকোডার টোকেনগুলো নিরাপদে প্রসেস করে এবং সেগুলো সেভ করে না। তবে প্রোডাকশন টোকেন পাবলিক পরিবেশে শেয়ার করা এড়িয়ে চলা উচিত।
পেলোড-এর মধ্যে 'exp' ক্লেইমটি দেখুন।
বর্তমান সময় যদি এই টাইমস্ট্যাম্পের পরে হয়, তবে টোকেনটি আর বৈধ নয়।
JWKS (JSON Web Key Set) হলো একটি পাবলিক এন্ডপয়েন্ট যা RS256-এর মতো অ্যালগরিদম দিয়ে সাইন করা টোকেন ভেরিফাই করার জন্য কী প্রদান করে।
সাধারণ কারণগুলোর মধ্যে রয়েছে:
- ভুল সিক্রেট বা পাবলিক কী
- ইস্যু করার পরে টোকেন পরিবর্তন করা হয়েছে
- ভুল সাইনিং অ্যালগরিদম ব্যবহার করা হয়েছে
- টোকেনের মেয়াদ শেষ হয়ে গেছে