JWT टूल्स — डिकोड, सत्यापित और साइन करें

JWT टूल्स — डिकोड, सत्यापित और साइन करें क्या है?

JWT टूल्स एक मुफ़्त, ऑल-इन-वन JSON Web Token उपयोगिता है जो एक डिकोडर, एक सिग्नेचर सत्यापक और एक HS साइनर को एक ही जगह जोड़ती है। डिकोड मोड में यह header.payload.signature टोकन को base64url-डिकोड करके हेडर और पेलोड को फ़ॉर्मैट किए गए JSON के रूप में दिखाता है। सत्यापित मोड में यह टोकन हेडर से alg पढ़ता है और Web Crypto API से सिग्नेचर जाँचता है: HS256, HS384 और HS512 के लिए एक साझा HMAC सीक्रेट, या RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) और ES256/ES384/ES512 (ECDSA) के लिए PEM-एन्कोडेड पब्लिक की। साइन मोड में यह एक हेडर JSON, एक पेलोड JSON, चुनी गई HS एल्गोरिथ्म और एक सीक्रेट से बिल्कुल नया टोकन बनाकर HMAC से साइन करता है। यह बैकएंड और फ्रंटएंड इंजीनियरों, QA टेस्टरों और API इंटीग्रेटरों के लिए बनाया गया है जो ऑथेंटिकेशन, OAuth/OIDC सेशन और टोकन समाप्ति को बिना किसी रिमोट सेवा में सीक्रेट चिपकाए डिबग करते हैं।

JWT टूल्स — डिकोड, सत्यापित और साइन करें का उपयोग कैसे करें

1. ऊपर एक मोड चुनें: डिकोड, सत्यापित या साइन।
2. डिकोड: टोकन बॉक्स में एक JWT (header.payload.signature) पेस्ट करें और नीचे फ़ॉर्मैट किया गया हेडर व पेलोड पढ़ें — यहाँ कोई सिग्नेचर जाँच नहीं होती।
3. सत्यापित: टोकन पेस्ट करें, फिर की बॉक्स में HMAC सीक्रेट (HS एल्गोरिथ्म के लिए) या PEM पब्लिक की (RS/ES के लिए) पेस्ट करें; टूल हेडर से alg पढ़ता है और हरा 'valid' या लाल 'invalid' परिणाम दिखाता है।
4. साइन: एक हेडर JSON और एक पेलोड JSON डालें, HS256, HS384 या HS512 चुनें, अपना सीक्रेट टाइप करें, और दिखने वाला ताज़ा साइन किया टोकन कॉपी करें।
5. किसी भी आउटपुट पर कॉपी बटन का उपयोग करें, या डिकोड इनपुट रीसेट करने के लिए क्लियर करें।

उदाहरण

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload:
{
  "sub": "1234"
}

token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.<sig>
secret: your-256-bit-secret

valid (HS256)

header: {}
payload: { "sub": "1234567890", "name": "Jane Doe" }
secret: your-256-bit-secret

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIn0.<signature>

अक्सर पूछे जाने वाले सवाल

क्या मेरे टोकन, सीक्रेट और कीज़ कहीं अपलोड होते हैं?

नहीं। हर मोड आपके ब्राउज़र में पूरी तरह क्लाइंट-साइड चलता है, HMAC और सिग्नेचर सत्यापन के लिए अंतर्निहित Web Crypto API (crypto.subtle) तथा base64url और JSON के लिए JavaScript का उपयोग करते हुए। कुछ भी — न टोकन, न सीक्रेट, न PEM की — कभी किसी सर्वर पर नहीं भेजा जाता, जिससे प्रोडक्शन क्रेडेंशियल्स के साथ काम करना सुरक्षित रहता है।

यह किन एल्गोरिथ्म को सत्यापित कर सकता है?

सत्यापित साझा HMAC सीक्रेट के साथ HS256, HS384 और HS512, तथा PEM पब्लिक की के साथ RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) और ES256/ES384/ES512 (ECDSA) का समर्थन करता है। यह टोकन हेडर से alg फ़ील्ड स्वतः पढ़ लेता है, इसलिए आप केवल मेल खाता सीक्रेट या पब्लिक की देते हैं।

यह किन एल्गोरिथ्म से साइन कर सकता है?

साइन मोड केवल HMAC-साइन किए टोकन बनाता है — HS256, HS384 या HS512 — आपके हेडर JSON, पेलोड JSON और एक सीक्रेट से। RSA और ECDSA साइनिंग के लिए एक प्राइवेट की चाहिए और वह यहाँ दायरे से बाहर है; RS/ES के लिए आप अब भी सत्यापित मोड में मेल खाती पब्लिक की से सत्यापन कर सकते हैं।

क्या डिकोड मोड सिग्नेचर जाँचता है?

नहीं। डिकोड केवल base64url-डिकोड करता है और हेडर व पेलोड को सुंदर तरीके से दिखाता है — यह कभी सिग्नेचर सत्यापित नहीं करता। टोकन की प्रामाणिकता पुष्टि करने के लिए सत्यापित मोड पर जाएँ और कोई सीक्रेट या पब्लिक की दें, और जब तक सिग्नेचर सत्यापित न हो, डिकोड किए पेलोड पर कभी भरोसा न करें।

सत्यापन में invalid या error क्यों आता है?

'Invalid' का अर्थ है कि सिग्नेचर आपके दिए सीक्रेट या की से मेल नहीं खाया। इसके बजाय 'error' का अर्थ है कि इनपुट संसाधित नहीं हो सका — जैसे टोकन में सिग्नेचर सेगमेंट गायब है, alg असमर्थित है, या PEM पब्लिक की पार्स नहीं हो सकी। जाँचें कि आपने पूरा टोकन और उसकी एल्गोरिथ्म के लिए सही की पेस्ट की है।