JWT Decoder और Encoder: JSON Web Token तुरंत चेक और जनरेट करें

JWT (JSON Web Token) क्या है?

A JWT (RFC 7519) एक सुरक्षित, URL-सेफ टोकन फॉर्मेट है जो दो पार्टीज के बीच डेटा ट्रांसफर करने के लिए उपयोग किया जाता है। JWT आमतौर पर लॉगिन और ऑथेंटिकेशन (Stateless Auth) के लिए प्रयोग होता है जिससे सर्वर को बार-बार डेटाबेस चेक करने की जरूरत नहीं पड़ती।

एक JWT टोकन में तीन Base64url-एनकोडेड हिस्से होते हैं, जो डॉट्स (.) द्वारा अलग होते हैं:

REST APIs, सिंगल-पेज ऐप्स (React, Vue) और मोबाइल बैकएंड में इसका बड़े पैमाने पर इस्तेमाल होता है। प्राइवेट डेटा के लिए JWE (JSON Web Encryption) का इस्तेमाल करें।

ऑनलाइन JWT टोकन कैसे डीकोड करें?

1. अपने JWT टोकन को ऑथेंटिकेशन हेडर या कुकीज़ (Cookies) से कॉपी करें
2. उसे ऊपर इनपुट बॉक्स में पेस्ट करें (टोकन 'eyJ' से शुरू होना चाहिए)
3. सिस्टम तुरंत हेडर और पेलोड दिखाएगा। सभी प्रॉपर्टीज़ को पढ़ें।
4. Token Status बैनर में एक्सपायरी और वैलिडिटी का लाइव काउंटडाउन चेक करें
5. Security Audit पैनल पर क्लिक करके रिस्क वार्निंग चेक करें
6. RFC डेफिनेशन के अनुसार 'Claims Breakdown' टेबल का उपयोग करके अपने JWT क्लेम्स के बारे में डिटेल में समझें
7. नीचे दिए गए Verification Snippets वाले सेक्शन से JS, Python, Go या Java का कोड छांटें और उपयोग करें।

JWT vs Session Tokens: कौन सा बेहतर है?

JWT का उपयोग करें: जब आप Stateless REST API बना रहे हों और आपको टोकन सभी सर्वर में बांटने हों।

Sessions चुनें: जब आप एक नॉर्मल वेबसाइट बना रहे हों और आपको यूज़र्स को तुरंत सिस्टम से बाहर निकालना हो।

JWT के Algorithms: HS256, RS256, और ES256

RS256 सबसे बेहतरीन विकल्प है क्योंकि आप अपनी प्राइवेट साइनिंग की छुपाकर पब्लिक की को आसानी से हर जगह क्लाइंट्स को बाँट सकते हैं।

JWT सिक्योरिटी बेस्ट प्रैक्टिसेज (सिक्योरिटी रूल्स 2026)

• सर्वर पर कोई क्लेम मानने से पहले हमेशा उसकी Signature (सिग्नेचर) को डिकोड करके वेरिफाई करें।
• एक्सपायरी डेट छोटी रखें - छोटी लाइफटाइम (15 मिनट) होने पर हैकर्स के लिए टोकन चुराना बेकार हो जाता है।
• JWT के पेलोड में पासवर्ड या बैंक की डिटेल्स जैसी व्यक्तिगत जानकारी कभी न रखें। यह एनक्रिप्टेड नहीं होता।
• हैकर्स से बचने के लिए इसे हमेशा एन्क्रिप्टेड HTTPS कनेक्शन पर ही भेजें।
• XSS (क्रॉस-साइट स्क्रिप्टिंग) अटैक से बचने के लिए इसे लोकल स्टोरेज (localStorage) के बजाय httpOnly कुकीज़ में सेव करें।
• लम्बे लॉगिन्स के लिए शॉर्ट-लाइफ Access Token और एक लंबा Refresh Token इस्तेमाल करें।
• 'iss' और 'aud' को हमेशा चेक करें ताकि कोई फेक टोकन इस्तेमाल न कर पाए।
• alg: none वाले टोकन को देखते ही ब्लॉक कर दें क्योंकि हैकर्स बिना पासवर्ड के भी लॉग इन कर लेंगे।
• अगर जल्दी डिलीट करना हो तो Redis-based ब्लॉकलिस्ट इंजन का प्रयोग करें।

कोड में JWT कैसे डीकोड करें?

ये उदाहरण टोकन की पेलोड जानकारी निकाल रहे हैं (सिग्नेचर चेक के साथ या बिना)।

// Decode without verification (read-only, same as this tool)
function decodeJWT(token) {
  const [header, payload] = token.split('.');
  const decode = str => JSON.parse(atob(str.replace(/-/g, '+').replace(/_/g, '/')));
  return { header: decode(header), payload: decode(payload) };
}

const { header, payload } = decodeJWT(yourToken);
console.log(payload.exp); // expiry timestamp

import base64, json

def decode_jwt_payload(token):
    payload = token.split('.')[1]
    # Add padding
    payload += '=' * (4 - len(payload) % 4)
    return json.loads(base64.urlsafe_b64decode(payload))

claims = decode_jwt_payload(your_token)
print(claims['exp'])  # expiry timestamp

import (
    "encoding/base64"
    "encoding/json"
    "strings"
)

func decodeJWTPayload(token string) (map[string]interface{}, error) {
    parts := strings.Split(token, ".")
    payload, _ := base64.RawURLEncoding.DecodeString(parts[1])
    var claims map[string]interface{}
    json.Unmarshal(payload, &claims)
    return claims, nil
}

JWT vs Session Tokens: आपको JWT क्यों उपयोग करना चाहिए?

JWT डेटाबेस हिट्स को कम कर देता है क्योंकि सारी पहचान की जानकारी टोकन के अंदर ही मौजूद होती है। इससे आपको बड़ी तेजी और बड़ी सिस्टम स्केलेबिलिटी (Scalability) मिलती है जो कि सेशन कुकीज़ के साथ मुश्किल होती है।