সরাসরি প্রধান সামগ্রীতে চলে যান

JWT কী এবং কেন এটি ব্যবহার করা হয় তার সহজ গাইড

ইন্টারনেটে যখন আমরা কোনো ওয়েবসাইট বা অ্যাপ ব্যবহার করি, তখন আমাদের নিরাপত্তার জন্য 'লগইন' করতে হয়। কিন্তু একবার লগইন করার পর সার্ভার কীভাবে মনে রাখে যে আপনিই সেই ব্যক্তি? এই কাজটি করার জন্য আধুনিক সময়ে JWT (JSON Web Token) খুবই জনপ্রিয়। সহজ কথায়, এটি একটি ডিজিটাল পরিচয়পত্র যা আপনার হয়ে সার্ভারের কাছে প্রমাণ দেয় যে আপনি একজন বৈধ ব্যবহারকারী।

১. সেশন (Session) বনাম JWT এর প্রয়োজনীয়তা

রেফারেন্স: [01:32]

আগেকার দিনে যখন আমরা লগইন করতাম, সার্ভার একটি Session ID তৈরি করত। এটা অনেকটা একটা খাতার মতো, যেখানে লেখা থাকত যে "১ নম্বর ইউজার লগইন করেছে"।

সমস্যা: ধরুন, একটি বড় কোম্পানির অনেকগুলো শাখা বা সার্ভার আছে (যেমন- ঢাকা, চট্টগ্রাম, সিলেট)। আপনি ঢাকা থেকে লগইন করলেন, কিন্তু চট্টগ্রাম সার্ভার আপনাকে চিনতে পারবে না কারণ ওই খাতাটা তো শুধু ঢাকাতেই আছে! সব সার্ভারের জন্য একটা কমন খাতা (Database) রাখা যায়, কিন্তু সেটা সিস্টেমকে ধীরগতি করে দেয়।

সমাধান (JWT): এই সমস্যা মেটাতেই JWT-এর জন্ম। এটি কোনো খাতার ওপর নির্ভর করে না, বরং ইউজারকে একটি ডিজিটাল কার্ড দিয়ে দেয় যা যেকোনো সার্ভার দেখলেই চিনতে পারে।

২. একটি কফি শপের গল্পের মাধ্যমে JWT বোঝা

রেফারেন্স: [04:44]

ভিডিওতে একটি দারুণ উদাহরণের মাধ্যমে এটি বোঝানো হয়েছে:

  • পরিস্থিতি: নবীন নামের একজন ব্যক্তি একটি কফি শপে ৫০ ডলার দিয়ে এক মাসের পাস কিনলেন।

  • পুরানো পদ্ধতি (Session): কফি শপের ম্যানেজার বব তার খাতায় লিখে রাখলেন নবীনের নাম। পরদিন বব না থেকে যদি রোহিত আসে, সে তো নবীনকে চিনবে না কারণ সে খাতা দেখেনি।

  • নতুন পদ্ধতি (JWT/Token): ম্যানেজার বব নবীনকে একটি আইডি কার্ড দিলেন যেখানে লেখা আছে: "নাম: নবীন, মেয়াদ: ৩০ দিন" এবং নিচে ম্যানেজারের একটি অফিসিয়াল স্ট্যাম্প (Signature) আছে।

এখন নবীন যেকোনো শাখায় যাক বা যে ম্যানেজারই থাকুক, কার্ডের স্ট্যাম্প দেখে সবাই বুঝতে পারবে এটা আসল। এটাই হলো Token-based Authentication

সহজ ব্যাখ্যা: > * Credentials (ক্রিডেনশিয়ালস): আপনার ইউজারনেম এবং পাসওয়ার্ড।

  • Token (টোকেন): লগইন করার পর সার্ভার থেকে পাওয়া সেই ডিজিটাল আইডি কার্ড।

৩. JWT আসলে কী দিয়ে তৈরি? (Structure)

রেফারেন্স: [09:42]

JWT দেখতে অনেকটা হিজিবিজি কোডের মতো মনে হলেও এর তিনটি প্রধান অংশ থাকে:

  1. Header (হেডার): এখানে লেখা থাকে কোন অ্যালগরিদম ব্যবহার করে এটি তৈরি করা হয়েছে (যেমন: HS256)।

  2. Payload (পেলোড): এখানে আপনার তথ্য থাকে (যেমন: ইউজার আইডি, নাম, টোকেন কবে শেষ হবে)।

  3. Signature (সিগনেচার): এটি সবচেয়ে গুরুত্বপূর্ণ। সার্ভার তার নিজস্ব একটি গোপন কোড (Secret Key) দিয়ে এটি তৈরি করে। যদি কেউ টোকেনের তথ্য পরিবর্তন করার চেষ্টা করে, তবে সিগনেচারটি আর মিলবে না।

সহজ ব্যাখ্যা: > * Payload (পেলোড): ট্রাকের ভেতরে যেমন মালপত্র থাকে, তেমনি টোকেনের ভেতর যে তথ্য থাকে তাকে পেলোড বলে।

  • Algorithm (অ্যালগরিদম): তথ্যগুলো লক বা এনকোড করার একটি বিশেষ গাণিতিক নিয়ম।

৪. JWT কীভাবে কাজ করে? (Implementation logic)

রেফারেন্স: [12:43]

সার্ভার এবং ক্লায়েন্টের মধ্যে কথোপকথনটি নিচের মতো হয়:

  1. লগইন: ইউজার আইডি-পাসওয়ার্ড পাঠায়।

  2. টোকেন প্রদান: সার্ভার সব ঠিক থাকলে একটি JWT তৈরি করে ইউজারকে পাঠিয়ে দেয়।

  3. রিকোয়েস্ট: এরপর থেকে ইউজার যখনই কোনো তথ্য চায়, সে প্রতিবার ওই JWT টোকেনটি সাথে পাঠায়।

  4. ভেরিফিকেশন: সার্ভার শুধু টোকেনের সিগনেচার চেক করে দেখে। যদি ঠিক থাকে, তবে তথ্য দিয়ে দেয়।

৫. এনকোডিং বনাম এনক্রিপশন (Accountability)

রেফারেন্স: [13:58]

JWT সাধারণত Encoded থাকে, Encrypted নয়। এর মানে হলো, যে কেউ চাইলে আপনার টোকেনটি ডিকোড করে আপনার নাম বা তথ্য দেখতে পারবে। কিন্তু কেউ সেটা পরিবর্তন করতে পারবে না।

তাই মনে রাখবেন:

  • JWT এর ভেতরে কখনো পাসওয়ার্ড বা খুব গোপন তথ্য রাখবেন না।

  • JWT ব্যবহারের মূল লক্ষ্য হলো Accountability (জবাবদিহিতা)—অর্থাৎ আপনি কে, সেটা নিশ্চিত করা।

আমাদের বিশ্লেষণ ও মতামত

ভিডিও নির্মাতার মূল উদ্দেশ্য: টেলুস্কো (Telusko) এখানে বোঝাতে চেয়েছেন যে আধুনিক ডিস্ট্রিবিউটেড সিস্টেম বা মাইক্রোসার্ভিসে (যেখানে অনেকগুলো সার্ভার একসাথে কাজ করে) কেন সেশন ম্যানেজমেন্টের চেয়ে JWT বেশি কার্যকর। এটি সিস্টেমকে স্কেলেবল (Scalable) বা বড় করার সুবিধা দেয়।

বাস্তব প্রেক্ষাপট ও চিন্তা: আজকাল প্রায় সব মোবাইল অ্যাপ এবং আধুনিক ওয়েব অ্যাপ (React, Angular, Vue) এ JWT ব্যবহার করা হয়। তবে এর একটি ঝুঁকি হলো, যদি কেউ আপনার টোকেনটি চুরি করে নেয়, তবে সে আপনার হয়ে সার্ভারে প্রবেশ করতে পারবে।

বিকল্প ও পরামর্শ: ১. HTTPS ব্যবহার করুন: যাতে ইন্টারনেটে ডেটা আদান-প্রদানের সময় কেউ টোকেন চুরি করতে না পারে।

২. Refresh Token: নিরাপত্তার জন্য টোকেনের মেয়াদ কম রাখা উচিত (যেমন ১৫ মিনিট) এবং নতুন টোকেন পাওয়ার জন্য রিফ্রেশ টোকেন সিস্টেম ব্যবহার করা ভালো।

সারসংক্ষেপে, JWT হলো এক ধরনের স্মার্ট আইডি কার্ড যা আপনার অ্যাপের নিরাপত্তা ব্যবস্থাকে অনেক বেশি শক্তিশালী এবং আধুনিক করে তোলে।

[

#35 What is JWT and Why

Telusko · 115K views

](http://www.youtube.com/watch?v=CELcrLHQmZs)

মন্তব্যসমূহ

একটি মন্তব্য পোস্ট করুন

আপনার সমস্যাটি কমেন্ট করে আমাদের জানান :-d

এই ব্লগটি থেকে জনপ্রিয় পোস্টগুলি

সিজ্জিন (Sijjin) vs ইল্লিয়িন (Illiyin) পার্থক্য Difference

Sijjin (سِجِّين) এবং Illiyin (عِلِّيِّين) —এ দুটি শব্দ কুরআনে এসেছে এবং দুটোই মানুষের আমলনামা সংরক্ষণ সম্পর্কিত স্থানকে নির্দেশ করে। ১. সিজ্জিন (Sijjin) সিজ্জিন হলো পাপীদের (কাফের, মুনাফিক ও দুরাচারীদের) আমলনামা সংরক্ষণের স্থান। এটি সাত তলদেশের নীচে এক কারাগার বা অন্ধকার জগতে অবস্থিত বলে উল্লেখ রয়েছে। সূরা আল-মুতাফফিফীন (৮৩:৭-৯) তে বলা হয়েছে: "كَلَّا إِنَّ كِتَابَ الْفُجَّارِ لَفِي سِجِّينٍ ۝ وَمَا أَدْرَاكَ مَا سِجِّينٌ ۝ كِتَابٌ مَرْقُومٌ" অর্থ: "না, পাপীদের আমলনামা সিজ্জিনে সংরক্ষিত। তুমি কি জানো, সিজ্জিন কী? এটি এক লিখিত দলিল।" সিজ্জিনকে একটি কারাগার, সংকীর্ণ স্থান, বা নিচের স্তরে অবস্থিত এক অন্ধকার দুনিয়া হিসেবে ব্যাখ্যা করা হয়। ২. ইল্লিয়িন (Illiyin) ইল্লিয়িন হলো সৎকর্মশীলদের (মুমিন ও নেককারদের) আমলনামা সংরক্ষণের স্থান । এটি সপ্তম আসমানের ওপরে সংরক্ষিত এক সম্মানিত স্থান। সূরা আল-মুতাফফিফীন (৮৩:১৮-২১) তে বলা হয়েছে: "كَلَّا إِنَّ كِتَابَ الْأَبْرَارِ لَفِي عِلِّيِّينَ ۝ وَمَا أَدْرَاكَ مَا عِلِّيُّونَ ۝ كِتَابٌ مَرْقُومٌ ۝ يَش...
একটি মন্তব্য পোস্ট করুন
Explore more »

তারাবিহ সমগ্র - প্রথম আলো

রামাদান ২০২৪ উপলক্ষে প্রথম আলোর নিয়মিত আয়োজন - খতমে তারাবিহ'র সূরা গুলো নিয়ে সংক্ষিপ্ত আলোচনা'র লিংক  নিচে দেওয়া হলো।  লিংকে ক্লিক করলেই আপনাকে আলোচনা তে নিয়ে যাবে। তারাবিহ: ১ | একটি খুন ও গাভি নিয়ে বনি ইসরাইলের বাড়াবাড়ি তারাবিহ: ২ | নারীর মর্যাদা ও অধিকার এবং অলৌকিক তিন ঘটনা তারাবিহ: ৩ | যে ১৪ নারীকে বিয়ে করা হারাম তারাবিতে: ১২ | মহানবী (সা.)–এর আকাশভ্রমণ এবং আসহাবে কাহাফের কাহিনি
একটি মন্তব্য পোস্ট করুন
Explore more »

রেডমি নোট ৯ এর বিস্তারিত | Redmi Note 9 in Bangla

৩০ এপ্রিল, ২০২০ এ শাওমির ঘোষনা আসে এই ফোনটি নিয়ে। কিন্তু ফোনটি মার্কেটে আসে মে মাসের শেষের দিকে৷ করোনার কারনে ফোনটি বাংলাদেশে আসতে আরো সময় নেয়। বর্তমানে বাংলাদেশে আন অফিশিয়াল ভাবে ফোনটি পাওয়া যাচ্ছে৷ বাংলাদেশে অফিশিয়াল ভাবে এখনো ফোনটি আসার তথ্য নেয়৷ চলুন ফোনটি নিয়ে বিস্তারিত আলোচনা করা যাক। শাওমি নোট সিরিজের ফোন বের করে এদের রেডমি নামে সাব ব্যান্ড৷ এদের কাজ হল এই নোট সিরিজ নিয়ে কাজ করা৷ প্রতিবছর নোট সিরিজের ১/২ টা ফোন বাজারে আসে। সাথে সেই ফোন গুলার বিভিন্ন ভার্সন (যেমন - র‍্যাম ও রমের ভিত্তিতে) বাজারে আসে। এই বছরও তারা রেডমি সিরিজের নোট ৯ বাজারে আনে। এই বছর হয়তো এই সিরিজের আরো ফোন বাজারে আসবে। ডিস্পলেঃ ফোনটির ডিসপ্লে সাইজ ৬.৫৩ ইঞ্চি। এতে আইপিএস এলসিডি ডিসপ্লে ব্যবহার করা হয়েছে। এই ফোনের ডিসপ্লে প্রটেকশন হিসেবে আছে গরিলা গ্লাস ফাইভ। স্ক্রিন আর ফোনের বডির অনুপাত প্রায় ৮৩.৫%। এই ফোনের ডিসপ্লে ফুলএইচডি মানে ১০৮০পি। এই ডিস্পলের দৈর্ঘ্য ১৯.৫ একক এবং প্রস্থ হল ৯ একক। এত বড় ফোনের কারনে এই ফোনের পিপি আই ডেনসিটি ৩৯৫। যা একটু কম। প্লাটফর্মঃ এই ফোনের অপারেটিং সিস্টেম এন্ড্রয়েড ১০ এবং এর...
একটি মন্তব্য পোস্ট করুন
Explore more »