Skip to main content
CheckTown
डेव टूल

JWT डिकोडर: JSON वेब टोकन को ऑनलाइन जाँचें और डिबग करें

प्रकाशित 5 मिनट का पठन
इस लेख में

JWT क्या है?

एक JSON Web Token (JWT) एक संक्षिप्त, URL-सुरक्षित टोकन है जो दो पक्षों के बीच दावों (claims) को दर्शाने के लिए इस्तेमाल होता है। JWT आधुनिक प्रमाणीकरण और प्राधिकरण प्रणालियों की रीढ़ हैं — इन्हें लॉगिन के बाद सर्वर द्वारा जारी किया जाता है और पहचान साबित करने के लिए आगे के API अनुरोधों के साथ भेजा जाता है।

एक JWT में डॉट से अलग किए गए तीन Base64URL-एन्कोडेड हिस्से होते हैं: हेडर (एल्गोरिथम और टोकन प्रकार), पेलोड (दावे/डेटा), और हस्ताक्षर (अखंडता सत्यापन)। हस्ताक्षर एक गुप्त कुंजी या निजी कुंजी का उपयोग करके बनाया जाता है, जिससे टोकन में छेड़छाड़ का पता चल जाता है।

JWT डिकोडिंग कैसे काम करती है

किसी JWT को डिकोड करने से उसकी सामग्री बिना हस्ताक्षर सत्यापित किए सामने आ जाती है — यह डीबगिंग के लिए उपयोगी है, पर सुरक्षा संबंधी निर्णयों के लिए नहीं।

  • हेडर डिकोड — हस्ताक्षर एल्गोरिथम (HS256, RS256, आदि) और टोकन प्रकार सामने लाता है
  • पेलोड डिकोड — उपयोगकर्ता ID, भूमिकाओं, समाप्ति समय और कस्टम डेटा सहित सभी दावे उजागर करता है
  • समाप्ति जाँच — exp दावे के आधार पर गणना करता है कि टोकन समाप्त हो चुका है या नहीं

निःशुल्क आज़माएँ — कोई साइनअप आवश्यक नहीं

JWT टोकन डिकोड करें →

JWT डिकोडिंग का उपयोग कब करें

JWT डिकोडिंग API विकास और डीबगिंग वर्कफ़्लो के दौरान अनिवार्य है।

  • API डीबगिंग — जब अनुरोध 401 या 403 त्रुटियों के साथ विफल हों तो टोकन की सामग्री का निरीक्षण करें
  • इंटीग्रेशन परीक्षण — सत्यापित करें कि आपका ऑथ सर्वर जारी किए गए टोकन में सही दावे शामिल कर रहा है
  • टोकन समाप्ति निदान — तेज़ी से जाँचें कि प्रमाणीकरण विफलताएँ समाप्त हो चुके टोकन के कारण हो रही हैं या नहीं

अक्सर पूछे जाने वाले सवाल

क्या मैं डिकोड की गई JWT सामग्री पर भरोसा कर सकता हूँ?

डिकोडिंग पेलोड को सामने लाती है, पर हस्ताक्षर सत्यापित नहीं करती। जब तक आपने सही गुप्त कुंजी या सार्वजनिक कुंजी से हस्ताक्षर सत्यापित न कर लिया हो, तब तक डिकोड की गई टोकन सामग्री के आधार पर सुरक्षा संबंधी निर्णय कभी न लें। CheckTown का डिकोडर केवल निरीक्षण के लिए है।

मुझे JWT पेलोड में कभी क्या नहीं डालना चाहिए?

JWT पेलोड में पासवर्ड, क्रेडिट कार्ड नंबर या निजी कुंजी जैसी संवेदनशील जानकारी कभी न रखें। JWT एन्कोडेड होते हैं, एन्क्रिप्टेड नहीं — जो कोई भी टोकन को इंटरसेप्ट करता है, वह हस्ताक्षर कुंजी के बिना ही पेलोड को डिकोड कर सकता है।

HS256 और RS256 में क्या अंतर है?

HS256 (HMAC-SHA256) हस्ताक्षर और सत्यापन दोनों के लिए एक ही साझा गुप्त कुंजी का उपयोग करता है। RS256 (RSA-SHA256) हस्ताक्षर के लिए एक निजी कुंजी और सत्यापन के लिए एक सार्वजनिक कुंजी का उपयोग करता है। वितरित प्रणालियों में RS256 को प्राथमिकता दी जाती है, जहाँ कई सेवाओं को हस्ताक्षर गुप्त कुंजी तक पहुँच के बिना टोकन सत्यापित करने की ज़रूरत होती है।

संबंधित टूल