সরাসরি প্রধান সামগ্রীতে চলে যান

JWT কি এবং কেন এটি ব্যবহার করা হয়?

ইন্টারনেট দুনিয়ায় যখন আমরা কোনো ওয়েবসাইটে লগইন করি, তখন সার্ভার কীভাবে বোঝে যে আমিই সেই ব্যক্তি? এই কাজটা সহজ আর নিরাপদ করার জন্য JWT বা JSON Web Token ব্যবহার করা হয়। সহজ কথায়, এটি একটি ডিজিটাল পরিচয়পত্রের মতো যা আপনার হয়ে সার্ভারের কাছে প্রমাণ দেয়।

ভূমিকা (Introduction)

আগেকার দিনে যখন আমরা কোনো ওয়েবসাইটে লগইন করতাম, তখন সার্ভার আমাদের জন্য একটি Session তৈরি করত। কিন্তু বর্তমানের বড় বড় অ্যাপ্লিকেশনে এই পদ্ধতিতে কিছু সমস্যা দেখা দেয়। এই সমস্যা সমাধানের জন্যই JWT-এর জন্ম। এটি একটি ছোট, হালকা এবং নিরাপদ মাধ্যম যার মাধ্যমে এক পক্ষ থেকে অন্য পক্ষে (যেমন: আপনার ব্রাউজার থেকে সার্ভারে) তথ্য পাঠানো যায়। একে ভালোবেসে অনেকে "Jot" (জট) বলেও ডাকে।

১. সেশন (Session) বনাম JWT: কেন এটি দরকার?

ভিডিও রেফারেন্স: [01:37]

আগে যখন আপনি লগইন করতেন, সার্ভার তার মেমোরিতে একটা লিস্ট রাখত যেখানে লেখা থাকত আপনি লগইন করেছেন। এটাকে বলে Session-based Authentication

সমস্যাটা কোথায়? ধরুন, একটি কফি শপের (ভিডিওর উদাহরণ অনুযায়ী) মালিক 'বব' আপনাকে চেনে। কিন্তু ববের বদলে যদি 'রোহিত' কাজে আসে, সে আপনাকে চিনবে না। কারণ আপনার তথ্য শুধু ববের মাথাতেই ছিল। তেমনি, একটি সার্ভার থেকে অন্য সার্ভারে তথ্য শেয়ার করা কঠিন হয়ে পড়ে যদি অনেক বড় ইউজার বেস থাকে।

সহজ ব্যাখ্যা:

  • Session: অনেকটা ক্লাবে মেম্বারশিপ নেওয়ার মতো, যেখানে ক্লাবের রেজিস্টার খাতায় আপনার নাম লেখা থাকে। আপনি গেলে তারা খাতা চেক করে।

  • JWT: এটা অনেকটা মেম্বারশিপ কার্ডের মতো। আপনার তথ্য কার্ডেই আছে, তাই ক্লাবের কাউকে আলাদা করে খাতা চেক করতে হয় না। আপনি কার্ড দেখালেই তারা বুঝে যায় আপনি মেম্বার।

২. JWT আসলে কী? (What is JWT?)

ভিডিও রেফারেন্স: [09:42]

JWT বা JSON Web Token হলো তথ্যের একটি এনকোড করা রূপ। এটি দেখতে হিজিবিজি কিছু অক্ষরের মতো মনে হলেও এর ভেতরে সব প্রয়োজনীয় তথ্য লুকানো থাকে।

সহজ ভাষায় ডিটেইলস: JWT মূলত তিনটি অংশ নিয়ে গঠিত (বিন্দু বা Dot দিয়ে আলাদা করা থাকে):

  1. Header: এখানে বলা থাকে এটা কোন ধরনের টোকেন এবং কোন অ্যালগরিদম (যেমন: HS256) ব্যবহার করা হয়েছে।

  2. Payload: এখানে আপনার আসল তথ্য থাকে (যেমন: আপনার নাম, টোকেনটি কখন শেষ হবে বা Expiry Date)। একে বলা হয় Claims

  3. Signature: এটি সবচেয়ে গুরুত্বপূর্ণ। সার্ভার নিজের একটি গোপন চাবি (Secret Key) দিয়ে এটি তৈরি করে যাতে কেউ টোকেনটি জাল করতে না পারে।

কঠিন শব্দের সহজ অর্থ:

  • Payload (পেলোড): আপনি যে মূল তথ্যটুকু পাঠাতে চাচ্ছেন।

  • Claims (ক্লেমস): আপনি যা দাবি করছেন (যেমন: "আমার নাম নাভিন")।

  • Encoding (এনকোডিং): তথ্যকে এক রূপ থেকে অন্য রূপে নেওয়া যাতে এটি ইন্টারনেটে সহজে যাতায়াত করতে পারে।

৩. JWT কীভাবে কাজ করে? (Working Process)

ভিডিও রেফারেন্স: [12:43]

পুরো প্রক্রিয়াটি নিচের ধাপগুলোতে ঘটে:

  • প্রথম ধাপ: আপনি ইউজারনেম ও পাসওয়ার্ড দিয়ে লগইন করলেন।

  • দ্বিতীয় ধাপ: সার্ভার চেক করে দেখল সব ঠিক আছে। তখন সে একটি JWT টোকেন তৈরি করে আপনাকে পাঠিয়ে দিল।

  • তৃতীয় ধাপ: এখন থেকে আপনি যখনই কোনো ডাটা দেখতে চাইবেন (যেমন: আপনার প্রোফাইল), আপনি ওই টোকেনটি সাথে করে পাঠাবেন।

  • চতুর্থ ধাপ: সার্ভার শুধু টোকেনের সিগনেচার চেক করবে। যদি সিগনেচার ঠিক থাকে, তবে সে আপনাকে ডাটা দেবে। তাকে আর ডাটাবেজে গিয়ে চেক করতে হবে না।

৪. কোডিং ও ইমপ্লিমেন্টেশন (Coding Snippet)

যদিও ভিডিওটি মূলত কনসেপ্ট নিয়ে, তবে সাধারণত জাভা বা স্প্রিং বুট (Spring Boot) প্রজেক্টে JWT এভাবে কাজ করে (সহজ উদাহরণ):

Java

// একটি JWT টোকেন তৈরি করার সাধারণ কোড (Pseudo-code)
String token = Jwts.builder()
    .setSubject("Naveen") // ইউজারের নাম
    .setIssuedAt(new Date()) // কখন তৈরি হলো
    .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // ১ ঘণ্টা পর শেষ হবে
    .signWith(SignatureAlgorithm.HS256, "secretKey") // গোপন চাবি দিয়ে লক করা
    .compact(); // টোকেনটি ছোট স্ট্রিং আকারে তৈরি করা

এই কোড দিয়ে আমরা কী পেলাম? এই কোডটি রান করলে আমরা একটি ছোট স্ট্রিং পাব। এই স্ট্রিংটিই হলো আমাদের 'ডিজিটাল কার্ড'। এটি যতক্ষণ ইউজারের কাছে থাকবে এবং এর মেয়াদ থাকবে, ইউজার আমাদের অ্যাপ ব্যবহার করতে পারবে।

৫. বিশ্লেষণ ও আমার মতামত (Analysis & Thinking)

মূল বক্তব্য: কন্টেন্ট ক্রিয়েটর এখানে বোঝাতে চেয়েছেন যে, বর্তমানের Stateless (যেখানে সার্ভার ইউজারের তথ্য মনে রাখে না) আর্কিটেকচারে JWT অপরিহার্য। এটি সার্ভারের ওপর চাপ কমায় কারণ সার্ভারকে বারবার ডাটাবেজ চেক করতে হয় না।

বাস্তবতার নিরিখে কিছু চিন্তা:

  • নিরাপত্তা (Security): মনে রাখবেন, JWT কিন্তু আপনার তথ্য লুকিয়ে রাখে না (যদি না আপনি আলাদা করে এনক্রিপ্ট করেন)। যেকোনো ব্যক্তি এটি ডিকোড করে দেখতে পারে। তাই কখনোই JWT-এর ভেতরে পাসওয়ার্ডের মতো সংবেদনশীল তথ্য রাখবেন না।

  • জবাবদিহিতা (Accountability): JWT মূলত প্রমাণ করে যে টোকেনটি আসল এবং এটি কোনো বিশ্বস্ত সূত্র থেকে এসেছে।

  • বিকল্প (Alternative): ছোট অ্যাপ্লিকেশনের জন্য সেশন এখনো ভালো। কিন্তু যদি আপনার অ্যাপটি অনেক বড় হয় বা মোবাইল অ্যাপ এবং ওয়েব অ্যাপ আলাদা থাকে, তবে JWT-ই সেরা সমাধান।

পরামর্শ: সব সময় HTTPS ব্যবহার করবেন যাতে হ্যাকাররা মাঝপথ থেকে আপনার টোকেন চুরি করতে না পারে। আর টোকেনের মেয়াদ (Expiration Time) সবসময় কম রাখার চেষ্টা করবেন যাতে চুরি হলেও তা বেশিক্ষণ কাজ না করে।

[

#35 What is JWT and Why

Telusko · 115K views

](http://www.youtube.com/watch?v=CELcrLHQmZs)

মন্তব্যসমূহ

একটি মন্তব্য পোস্ট করুন

আপনার সমস্যাটি কমেন্ট করে আমাদের জানান :-d

এই ব্লগটি থেকে জনপ্রিয় পোস্টগুলি

সিজ্জিন (Sijjin) vs ইল্লিয়িন (Illiyin) পার্থক্য Difference

Sijjin (سِجِّين) এবং Illiyin (عِلِّيِّين) —এ দুটি শব্দ কুরআনে এসেছে এবং দুটোই মানুষের আমলনামা সংরক্ষণ সম্পর্কিত স্থানকে নির্দেশ করে। ১. সিজ্জিন (Sijjin) সিজ্জিন হলো পাপীদের (কাফের, মুনাফিক ও দুরাচারীদের) আমলনামা সংরক্ষণের স্থান। এটি সাত তলদেশের নীচে এক কারাগার বা অন্ধকার জগতে অবস্থিত বলে উল্লেখ রয়েছে। সূরা আল-মুতাফফিফীন (৮৩:৭-৯) তে বলা হয়েছে: "كَلَّا إِنَّ كِتَابَ الْفُجَّارِ لَفِي سِجِّينٍ ۝ وَمَا أَدْرَاكَ مَا سِجِّينٌ ۝ كِتَابٌ مَرْقُومٌ" অর্থ: "না, পাপীদের আমলনামা সিজ্জিনে সংরক্ষিত। তুমি কি জানো, সিজ্জিন কী? এটি এক লিখিত দলিল।" সিজ্জিনকে একটি কারাগার, সংকীর্ণ স্থান, বা নিচের স্তরে অবস্থিত এক অন্ধকার দুনিয়া হিসেবে ব্যাখ্যা করা হয়। ২. ইল্লিয়িন (Illiyin) ইল্লিয়িন হলো সৎকর্মশীলদের (মুমিন ও নেককারদের) আমলনামা সংরক্ষণের স্থান । এটি সপ্তম আসমানের ওপরে সংরক্ষিত এক সম্মানিত স্থান। সূরা আল-মুতাফফিফীন (৮৩:১৮-২১) তে বলা হয়েছে: "كَلَّا إِنَّ كِتَابَ الْأَبْرَارِ لَفِي عِلِّيِّينَ ۝ وَمَا أَدْرَاكَ مَا عِلِّيُّونَ ۝ كِتَابٌ مَرْقُومٌ ۝ يَش...
একটি মন্তব্য পোস্ট করুন
Explore more »

তারাবিহ সমগ্র - প্রথম আলো

রামাদান ২০২৪ উপলক্ষে প্রথম আলোর নিয়মিত আয়োজন - খতমে তারাবিহ'র সূরা গুলো নিয়ে সংক্ষিপ্ত আলোচনা'র লিংক  নিচে দেওয়া হলো।  লিংকে ক্লিক করলেই আপনাকে আলোচনা তে নিয়ে যাবে। তারাবিহ: ১ | একটি খুন ও গাভি নিয়ে বনি ইসরাইলের বাড়াবাড়ি তারাবিহ: ২ | নারীর মর্যাদা ও অধিকার এবং অলৌকিক তিন ঘটনা তারাবিহ: ৩ | যে ১৪ নারীকে বিয়ে করা হারাম তারাবিতে: ১২ | মহানবী (সা.)–এর আকাশভ্রমণ এবং আসহাবে কাহাফের কাহিনি
একটি মন্তব্য পোস্ট করুন
Explore more »

রেডমি নোট ৯ এর বিস্তারিত | Redmi Note 9 in Bangla

৩০ এপ্রিল, ২০২০ এ শাওমির ঘোষনা আসে এই ফোনটি নিয়ে। কিন্তু ফোনটি মার্কেটে আসে মে মাসের শেষের দিকে৷ করোনার কারনে ফোনটি বাংলাদেশে আসতে আরো সময় নেয়। বর্তমানে বাংলাদেশে আন অফিশিয়াল ভাবে ফোনটি পাওয়া যাচ্ছে৷ বাংলাদেশে অফিশিয়াল ভাবে এখনো ফোনটি আসার তথ্য নেয়৷ চলুন ফোনটি নিয়ে বিস্তারিত আলোচনা করা যাক। শাওমি নোট সিরিজের ফোন বের করে এদের রেডমি নামে সাব ব্যান্ড৷ এদের কাজ হল এই নোট সিরিজ নিয়ে কাজ করা৷ প্রতিবছর নোট সিরিজের ১/২ টা ফোন বাজারে আসে। সাথে সেই ফোন গুলার বিভিন্ন ভার্সন (যেমন - র‍্যাম ও রমের ভিত্তিতে) বাজারে আসে। এই বছরও তারা রেডমি সিরিজের নোট ৯ বাজারে আনে। এই বছর হয়তো এই সিরিজের আরো ফোন বাজারে আসবে। ডিস্পলেঃ ফোনটির ডিসপ্লে সাইজ ৬.৫৩ ইঞ্চি। এতে আইপিএস এলসিডি ডিসপ্লে ব্যবহার করা হয়েছে। এই ফোনের ডিসপ্লে প্রটেকশন হিসেবে আছে গরিলা গ্লাস ফাইভ। স্ক্রিন আর ফোনের বডির অনুপাত প্রায় ৮৩.৫%। এই ফোনের ডিসপ্লে ফুলএইচডি মানে ১০৮০পি। এই ডিস্পলের দৈর্ঘ্য ১৯.৫ একক এবং প্রস্থ হল ৯ একক। এত বড় ফোনের কারনে এই ফোনের পিপি আই ডেনসিটি ৩৯৫। যা একটু কম। প্লাটফর্মঃ এই ফোনের অপারেটিং সিস্টেম এন্ড্রয়েড ১০ এবং এর...
একটি মন্তব্য পোস্ট করুন
Explore more »