टूल

निःशुल्क ऑनलाइन JWT डिकोडर

अपने ब्राउज़र में सीधे JSON Web Token को डिकोड और इंस्पेक्ट करें। header, payload और claims को पठनीय एक्सपायरी डेट के साथ देखें। कुछ भी कभी सर्वर पर नहीं भेजा जाता।

टोकन इंस्पेक्टर

एल्गोरिद्म
प्रकार
एक्सपायरी

Header

Payload

Signature

Signature सत्यापन के लिए सीक्रेट की चाहिए होती है, जो इस टूल में समर्थित नहीं है।
सारा डिकोडिंग आपके ब्राउज़र में ही स्थानीय रूप से होता है। आपका टोकन कभी अपलोड, स्टोर या लॉग नहीं किया जाता।

JWT क्या है?

JSON Web Token (JWT, RFC 7519) दो पक्षों के बीच claims को दर्शाने का एक संक्षिप्त, URL-सुरक्षित तरीका है। यह डॉट्स से जुड़े तीन Base64URL-एन्कोडेड भागों से बना होता है — header.payload.signature। इसका सबसे सामान्य उपयोग REST API के लिए स्टेटलेस ऑथेंटिकेशन है: लॉगिन के बाद, सर्वर एक हस्ताक्षरित टोकन जारी करता है जिसे क्लाइंट हर रिक्वेस्ट के साथ भेजता है, ताकि सर्वर सेशन स्टेट रखे बिना पहचान सत्यापित कर सके।

JWT संरचना: Header, Payload, Signature

Header

यह सिग्निंग एल्गोरिद्म (alg, जैसे HS256, RS256, ES256) और टोकन का प्रकार (typ) घोषित करता है, जो लगभग हमेशा JWT होता है।

Payload

इसमें स्टैंडर्ड और कस्टम claims होते हैं। यह केवल Base64URL-एन्कोडेड है, एन्क्रिप्टेड नहीं — कोई भी इसे पढ़ सकता है, इसलिए यहाँ कभी सीक्रेट्स न रखें।

Signature

यह एन्कोडेड header और payload को सीक्रेट या प्राइवेट की से साइन करके गणना की जाती है। यह अखंडता (integrity) साबित करती है लेकिन उस की के बिना सत्यापित नहीं की जा सकती।

सामान्य JWT Claims की व्याख्या

Payload में claims होते हैं — टोकन के बारे में कथन। ये पंजीकृत claims JWT स्टैंडर्ड द्वारा परिभाषित हैं:

sub Subject — वह मुख्य विषय जिसके बारे में टोकन है, आमतौर पर यूज़र ID।
iss Issuer — पहचान करता है कि टोकन किसने जारी किया।
aud Audience — वे प्राप्तकर्ता जिनके लिए टोकन बनाया गया है।
exp Expiration Time — Unix timestamp, जिसके बाद टोकन अस्वीकार कर देना चाहिए।
iat Issued At — Unix timestamp, जब टोकन बनाया गया।
nbf Not Before — Unix timestamp, जिससे पहले टोकन स्वीकार नहीं किया जाना चाहिए।
jti JWT ID — एक यूनीक आइडेंटिफायर, जो टोकन रीप्ले रोकने में उपयोगी है।

JWT सुरक्षा की सर्वोत्तम प्रथाएं

Payload में संवेदनशील डेटा कभी न डालें — यह केवल एन्कोडेड है, एन्क्रिप्टेड नहीं, और कोई भी इसे पढ़ सकता है।
हमेशा exp claim सेट करें और लीक हुए टोकन के प्रभाव को सीमित करने के लिए टोकन की आयु कम रखें।
माइक्रोसर्विसेज़ के लिए असममित (asymmetric) एल्गोरिद्म (RS256 या ES256) को प्राथमिकता दें ताकि सेवाएं बिना सीक्रेट साझा किए सत्यापन कर सकें।
हमेशा iss और aud claims को सर्वर-साइड पर सत्यापित करें, और जिन टोकनों का alg none पर सेट है उन्हें अस्वीकार करें।
टोकन को कभी URL या लॉग फ़ाइलों में उजागर न करें; उन्हें Authorization header में भेजें और सुरक्षित रूप से स्टोर करें।

अक्सर पूछे जाने वाले प्रश्न

नहीं। एक स्टैंडर्ड JWT साइन किया हुआ होता है, एन्क्रिप्टेड नहीं। header और payload केवल Base64URL-एन्कोडेड हैं, यानी टोकन रखने वाला कोई भी व्यक्ति इसे डिकोड करके इसकी सामग्री पढ़ सकता है। signature केवल यह गारंटी देती है कि टोकन के साथ छेड़छाड़ नहीं हुई है — यह डेटा को छुपाती नहीं। यदि आपको गोपनीयता चाहिए, तो JWE (JSON Web Encryption) का उपयोग करें या payload में कभी संवेदनशील डेटा न रखें।

नहीं। JWT signature सत्यापित करने के लिए सीक्रेट की (HS256 के लिए) या पब्लिक की (RS256/ES256 के लिए) चाहिए होती है, जो केवल जारी करने वाले सर्वर के पास होनी चाहिए। यह टूल जानबूझकर टोकन को क्लाइंट-साइड पर बिना सत्यापन के डिकोड करता है ताकि कोई भी की आपकी मशीन से बाहर न जाए। signature हमेशा अपने सर्वर पर सत्यापित करें, कभी ब्राउज़र में नहीं।

HS256 सममित (symmetric) है: एक ही सीक्रेट की टोकन को साइन और सत्यापित करती है, इसलिए जो भी पक्ष सत्यापित कर सकता है वह टोकन बना भी सकता है। RS256 असममित है: एक प्राइवेट की साइन करती है और एक अलग पब्लिक की सत्यापित करती है। वितरित सिस्टम और माइक्रोसर्विसेज़ के लिए RS256 पसंद किया जाता है क्योंकि आप प्राइवेट सिग्निंग की को गुप्त रखते हुए पब्लिक की को स्वतंत्र रूप से साझा कर सकते हैं।

exp claim सेकंड में Unix timestamp होता है। एक आम गलती इसे सेकंड (10 अंक) की जगह मिलीसेकंड (13 अंक) में देना है, जिससे एक्सपायरी बहुत पीछे या बहुत आगे चली जाती है। सर्वरों के बीच clock skew भी समय से पहले एक्सपायरी का कारण बन सकता है — सत्यापन करते समय थोड़ी छूट (leeway) रखें। ऊपर दिए गए Token Inspector का उपयोग करके raw वैल्यू के साथ पठनीय एक्सपायरी डेट देखें।