সরাসরি প্রধান সামগ্রীতে চলে যান

JWT কি এবং কেন এটি ব্যবহার করা হয়?

ইন্টারনেট দুনিয়ায় যখন আমরা কোনো ওয়েবসাইটে লগইন করি, তখন সার্ভার কীভাবে বোঝে যে আমিই সেই ব্যক্তি? এই কাজটা সহজ আর নিরাপদ করার জন্য JWT বা JSON Web Token ব্যবহার করা হয়। সহজ কথায়, এটি একটি ডিজিটাল পরিচয়পত্রের মতো যা আপনার হয়ে সার্ভারের কাছে প্রমাণ দেয়।

ভূমিকা (Introduction)

আগেকার দিনে যখন আমরা কোনো ওয়েবসাইটে লগইন করতাম, তখন সার্ভার আমাদের জন্য একটি Session তৈরি করত। কিন্তু বর্তমানের বড় বড় অ্যাপ্লিকেশনে এই পদ্ধতিতে কিছু সমস্যা দেখা দেয়। এই সমস্যা সমাধানের জন্যই JWT-এর জন্ম। এটি একটি ছোট, হালকা এবং নিরাপদ মাধ্যম যার মাধ্যমে এক পক্ষ থেকে অন্য পক্ষে (যেমন: আপনার ব্রাউজার থেকে সার্ভারে) তথ্য পাঠানো যায়। একে ভালোবেসে অনেকে "Jot" (জট) বলেও ডাকে।

১. সেশন (Session) বনাম JWT: কেন এটি দরকার?

ভিডিও রেফারেন্স: [01:37]

আগে যখন আপনি লগইন করতেন, সার্ভার তার মেমোরিতে একটা লিস্ট রাখত যেখানে লেখা থাকত আপনি লগইন করেছেন। এটাকে বলে Session-based Authentication

সমস্যাটা কোথায়? ধরুন, একটি কফি শপের (ভিডিওর উদাহরণ অনুযায়ী) মালিক 'বব' আপনাকে চেনে। কিন্তু ববের বদলে যদি 'রোহিত' কাজে আসে, সে আপনাকে চিনবে না। কারণ আপনার তথ্য শুধু ববের মাথাতেই ছিল। তেমনি, একটি সার্ভার থেকে অন্য সার্ভারে তথ্য শেয়ার করা কঠিন হয়ে পড়ে যদি অনেক বড় ইউজার বেস থাকে।

সহজ ব্যাখ্যা:

  • Session: অনেকটা ক্লাবে মেম্বারশিপ নেওয়ার মতো, যেখানে ক্লাবের রেজিস্টার খাতায় আপনার নাম লেখা থাকে। আপনি গেলে তারা খাতা চেক করে।

  • JWT: এটা অনেকটা মেম্বারশিপ কার্ডের মতো। আপনার তথ্য কার্ডেই আছে, তাই ক্লাবের কাউকে আলাদা করে খাতা চেক করতে হয় না। আপনি কার্ড দেখালেই তারা বুঝে যায় আপনি মেম্বার।

২. JWT আসলে কী? (What is JWT?)

ভিডিও রেফারেন্স: [09:42]

JWT বা JSON Web Token হলো তথ্যের একটি এনকোড করা রূপ। এটি দেখতে হিজিবিজি কিছু অক্ষরের মতো মনে হলেও এর ভেতরে সব প্রয়োজনীয় তথ্য লুকানো থাকে।

সহজ ভাষায় ডিটেইলস: JWT মূলত তিনটি অংশ নিয়ে গঠিত (বিন্দু বা Dot দিয়ে আলাদা করা থাকে):

  1. Header: এখানে বলা থাকে এটা কোন ধরনের টোকেন এবং কোন অ্যালগরিদম (যেমন: HS256) ব্যবহার করা হয়েছে।

  2. Payload: এখানে আপনার আসল তথ্য থাকে (যেমন: আপনার নাম, টোকেনটি কখন শেষ হবে বা Expiry Date)। একে বলা হয় Claims

  3. Signature: এটি সবচেয়ে গুরুত্বপূর্ণ। সার্ভার নিজের একটি গোপন চাবি (Secret Key) দিয়ে এটি তৈরি করে যাতে কেউ টোকেনটি জাল করতে না পারে।

কঠিন শব্দের সহজ অর্থ:

  • Payload (পেলোড): আপনি যে মূল তথ্যটুকু পাঠাতে চাচ্ছেন।

  • Claims (ক্লেমস): আপনি যা দাবি করছেন (যেমন: "আমার নাম নাভিন")।

  • Encoding (এনকোডিং): তথ্যকে এক রূপ থেকে অন্য রূপে নেওয়া যাতে এটি ইন্টারনেটে সহজে যাতায়াত করতে পারে।

৩. JWT কীভাবে কাজ করে? (Working Process)

ভিডিও রেফারেন্স: [12:43]

পুরো প্রক্রিয়াটি নিচের ধাপগুলোতে ঘটে:

  • প্রথম ধাপ: আপনি ইউজারনেম ও পাসওয়ার্ড দিয়ে লগইন করলেন।

  • দ্বিতীয় ধাপ: সার্ভার চেক করে দেখল সব ঠিক আছে। তখন সে একটি JWT টোকেন তৈরি করে আপনাকে পাঠিয়ে দিল।

  • তৃতীয় ধাপ: এখন থেকে আপনি যখনই কোনো ডাটা দেখতে চাইবেন (যেমন: আপনার প্রোফাইল), আপনি ওই টোকেনটি সাথে করে পাঠাবেন।

  • চতুর্থ ধাপ: সার্ভার শুধু টোকেনের সিগনেচার চেক করবে। যদি সিগনেচার ঠিক থাকে, তবে সে আপনাকে ডাটা দেবে। তাকে আর ডাটাবেজে গিয়ে চেক করতে হবে না।

৪. কোডিং ও ইমপ্লিমেন্টেশন (Coding Snippet)

যদিও ভিডিওটি মূলত কনসেপ্ট নিয়ে, তবে সাধারণত জাভা বা স্প্রিং বুট (Spring Boot) প্রজেক্টে JWT এভাবে কাজ করে (সহজ উদাহরণ):

Java

// একটি JWT টোকেন তৈরি করার সাধারণ কোড (Pseudo-code)
String token = Jwts.builder()
    .setSubject("Naveen") // ইউজারের নাম
    .setIssuedAt(new Date()) // কখন তৈরি হলো
    .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // ১ ঘণ্টা পর শেষ হবে
    .signWith(SignatureAlgorithm.HS256, "secretKey") // গোপন চাবি দিয়ে লক করা
    .compact(); // টোকেনটি ছোট স্ট্রিং আকারে তৈরি করা

এই কোড দিয়ে আমরা কী পেলাম? এই কোডটি রান করলে আমরা একটি ছোট স্ট্রিং পাব। এই স্ট্রিংটিই হলো আমাদের 'ডিজিটাল কার্ড'। এটি যতক্ষণ ইউজারের কাছে থাকবে এবং এর মেয়াদ থাকবে, ইউজার আমাদের অ্যাপ ব্যবহার করতে পারবে।

৫. বিশ্লেষণ ও আমার মতামত (Analysis & Thinking)

মূল বক্তব্য: কন্টেন্ট ক্রিয়েটর এখানে বোঝাতে চেয়েছেন যে, বর্তমানের Stateless (যেখানে সার্ভার ইউজারের তথ্য মনে রাখে না) আর্কিটেকচারে JWT অপরিহার্য। এটি সার্ভারের ওপর চাপ কমায় কারণ সার্ভারকে বারবার ডাটাবেজ চেক করতে হয় না।

বাস্তবতার নিরিখে কিছু চিন্তা:

  • নিরাপত্তা (Security): মনে রাখবেন, JWT কিন্তু আপনার তথ্য লুকিয়ে রাখে না (যদি না আপনি আলাদা করে এনক্রিপ্ট করেন)। যেকোনো ব্যক্তি এটি ডিকোড করে দেখতে পারে। তাই কখনোই JWT-এর ভেতরে পাসওয়ার্ডের মতো সংবেদনশীল তথ্য রাখবেন না।

  • জবাবদিহিতা (Accountability): JWT মূলত প্রমাণ করে যে টোকেনটি আসল এবং এটি কোনো বিশ্বস্ত সূত্র থেকে এসেছে।

  • বিকল্প (Alternative): ছোট অ্যাপ্লিকেশনের জন্য সেশন এখনো ভালো। কিন্তু যদি আপনার অ্যাপটি অনেক বড় হয় বা মোবাইল অ্যাপ এবং ওয়েব অ্যাপ আলাদা থাকে, তবে JWT-ই সেরা সমাধান।

পরামর্শ: সব সময় HTTPS ব্যবহার করবেন যাতে হ্যাকাররা মাঝপথ থেকে আপনার টোকেন চুরি করতে না পারে। আর টোকেনের মেয়াদ (Expiration Time) সবসময় কম রাখার চেষ্টা করবেন যাতে চুরি হলেও তা বেশিক্ষণ কাজ না করে।

[

#35 What is JWT and Why

Telusko · 115K views

](http://www.youtube.com/watch?v=CELcrLHQmZs)

মন্তব্যসমূহ

একটি মন্তব্য পোস্ট করুন

আপনার সমস্যাটি কমেন্ট করে আমাদের জানান :-d

এই ব্লগটি থেকে জনপ্রিয় পোস্টগুলি

সিজ্জিন (Sijjin) vs ইল্লিয়িন (Illiyin) পার্থক্য Difference

Sijjin (سِجِّين) এবং Illiyin (عِلِّيِّين) —এ দুটি শব্দ কুরআনে এসেছে এবং দুটোই মানুষের আমলনামা সংরক্ষণ সম্পর্কিত স্থানকে নির্দেশ করে। ১. সিজ্জিন (Sijjin) সিজ্জিন হলো পাপীদের (কাফের, মুনাফিক ও দুরাচারীদের) আমলনামা সংরক্ষণের স্থান। এটি সাত তলদেশের নীচে এক কারাগার বা অন্ধকার জগতে অবস্থিত বলে উল্লেখ রয়েছে। সূরা আল-মুতাফফিফীন (৮৩:৭-৯) তে বলা হয়েছে: "كَلَّا إِنَّ كِتَابَ الْفُجَّارِ لَفِي سِجِّينٍ ۝ وَمَا أَدْرَاكَ مَا سِجِّينٌ ۝ كِتَابٌ مَرْقُومٌ" অর্থ: "না, পাপীদের আমলনামা সিজ্জিনে সংরক্ষিত। তুমি কি জানো, সিজ্জিন কী? এটি এক লিখিত দলিল।" সিজ্জিনকে একটি কারাগার, সংকীর্ণ স্থান, বা নিচের স্তরে অবস্থিত এক অন্ধকার দুনিয়া হিসেবে ব্যাখ্যা করা হয়। ২. ইল্লিয়িন (Illiyin) ইল্লিয়িন হলো সৎকর্মশীলদের (মুমিন ও নেককারদের) আমলনামা সংরক্ষণের স্থান । এটি সপ্তম আসমানের ওপরে সংরক্ষিত এক সম্মানিত স্থান। সূরা আল-মুতাফফিফীন (৮৩:১৮-২১) তে বলা হয়েছে: "كَلَّا إِنَّ كِتَابَ الْأَبْرَارِ لَفِي عِلِّيِّينَ ۝ وَمَا أَدْرَاكَ مَا عِلِّيُّونَ ۝ كِتَابٌ مَرْقُومٌ ۝ يَش...
একটি মন্তব্য পোস্ট করুন
Explore more »

Allow CSP in Chrome and Firefox and Call Server API in Spring boot Bangla

ঠিক আছে 🔥। আমি তোমার জন্য একটি সম্পূর্ণ README-style document বানাচ্ছি, যেখানে Chrome এবং Firefox দুটোতেই Spring Boot backend-এর জন্য CSP এবং CORS ঠিকভাবে configure করার process step-by-step আছে। README: CSP & CORS Configuration for Spring Boot (Chrome & Firefox) Overview এই document-এ দেখানো হয়েছে কিভাবে: Spring Boot backend থেকে Content Security Policy (CSP) configure করা যায়। Spring Boot backend থেকে Cross-Origin Resource Sharing (CORS) allow করা যায়। Chrome ও Firefox-এ fetch/API calls চালাতে হয় কীভাবে। ⚠️ Important: নিচের setup mostly development/test environment-এর জন্য। Production environment-এ অবশ্যই CSP & CORS secure করে configure করতে হবে। 1. Spring Boot Backend Configuration 1.1 CSP (Content Security Policy) Spring Boot WebFlux বা Spring MVC application-এ CSP header সেট করতে হবে: a) WebFlux (reactive) import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web....
একটি মন্তব্য পোস্ট করুন
Explore more »

AWS Lambda কী?

AWS Lambda কী? AWS Lambda হল একটি সার্ভারলেস কম্পিউটিং সার্ভিস, যা AWS ক্লাউডে কোড রান করার জন্য ব্যবহৃত হয়। Lambda ব্যবহারকারীদের কোনো সার্ভার বা ইনফ্রাস্ট্রাকচার ম্যানেজমেন্ট ছাড়াই কোড চালাতে সাহায্য করে। এটি মূলত ইভেন্ট-ড্রিভেন, যেখানে বিভিন্ন AWS সেবা (যেমন S3, DynamoDB, SNS) বা কাস্টম ইভেন্ট দ্বারা Lambda ফাংশন ট্রিগার হতে পারে। Lambda কোড রান করার পর তা একাধিক আউটপুট জেনারেট করতে পারে, অথবা অন্যান্য সিস্টেমে ফলাফল পাঠাতে পারে। Lambda একটি serverless প্ল্যাটফর্ম, যার মানে হল আপনি কোনও সার্ভার বা হোস্টিং ম্যানেজ করবেন না। আপনি শুধুমাত্র আপনার কোড লেখবেন এবং Lambda সার্ভিস তার ইনফ্রাস্ট্রাকচার পরিচালনা করবে। AWS Lambda এর প্রধান সুবিধা: সার্ভার পরিচালনা প্রয়োজন নেই : আপনি কেবল কোড লেখবেন, সার্ভার বা ইনফ্রাস্ট্রাকচার সম্পর্কিত কোনও চিন্তা করার দরকার নেই। স্কেলিং : Lambda স্বয়ংক্রিয়ভাবে ইনফ্রাস্ট্রাকচার স্কেল করতে পারে। আপনার অ্যাপ্লিকেশনের উপর ট্রাফিক বাড়লে Lambda আপনাআপনি সেই অনুযায়ী স্কেল হবে। কোনও ইনিশিয়াল কস্ট নেই : আপনি শুধুমাত্র আপনার কোড রান হওয়া সময়ের জন্য খরচ দেন, স...
একটি মন্তব্য পোস্ট করুন
Explore more »