JWT এর আদ্যোপান্ত - ডেভেলপারদের জন্য আধুনিক অথেনটিকেশন সমাধান

By Ashiq

 

JWT এর আদ্যোপান্ত - ডেভেলপারদের জন্য আধুনিক অথেনটিকেশন সমাধান

সফটওয়্যার ইঞ্জিনিয়ারিংয়ের জগতে অথেনটিকেশন এবং অথোরাইজেশন নিয়ে কাজ করতে গেলে JSON Web Token (JWT) এর নাম শোনেননি এমন কাউকে খুঁজে পাওয়া দুষ্কর। তবে অনেক সময় আমরা এটি ব্যবহার করলেও এর অভ্যন্তরীণ কার্যপদ্ধতি এবং সিকিউরিটি নিয়ে কিছুটা ধোঁয়াশায় থাকি। আজকের এই আর্টিকেলে আমরা JWT-কে একটি নতুন আঙ্গিকে দেখব—এর গঠন থেকে শুরু করে আধুনিক সিস্টেমে এর প্রয়োজনীয়তা এবং সিকিউরিটি বেস্ট প্র্যাকটিস পর্যন্ত।



১. JWT আসলে কী এবং কেন?

JSON Web Token (JWT) হলো একটি ওপেন স্ট্যান্ডার্ড (RFC 7519), যা মূলত দুটি পক্ষের মধ্যে তথ্য আদান-প্রদানের একটি নিরাপদ মাধ্যম। আধুনিক ডিস্ট্রিবিউটেড সিস্টেম বা মাইক্রোসার্ভিস আর্কিটেকচারে এটি অত্যন্ত জনপ্রিয় কারণ এটি Stateless। অর্থাৎ, সার্ভারকে ইউজারের সেশন ডাটাবেসে সেভ করে রাখতে হয় না; টোকেন নিজেই নিজের পরিচয় বহন করে।


২. টোকেনের ব্যবচ্ছেদ: JWT-এর অভ্যন্তরীণ গঠন

সাধারণভাবে একটি JWT টোকেন header, payload এবং signature—এই তিনটি অংশের সমন্বয়ে তৈরি হয়। অংশগুলো পরস্পরের থেকে ডট (.) দ্বারা পৃথক থাকে এবং প্রতিটি অংশ Base64 URL encoding ব্যবহার করে এনকোড করা হয়। একটি JWT টোকেন দেখতে সাধারণত তিনটি অংশের সমষ্টি: header.payload.signature

ক. হেডার (Header)

এখানে টোকেনের ধরন (JWT) এবং এটি সাইন করার জন্য কোন অ্যালগরিদম (যেমন: HS256 বা RS256) ব্যবহার করা হয়েছে, সেই তথ্য থাকে।

খ. পে-লোড (Payload)

এটি টোকেনের মূল অংশ যেখানে ইউজারের তথ্য বা Claims থাকে। যেমন: ইউজারের আইডি, নাম এবং টোকেন ইস্যু করার সময় (iat), মেয়াদ শেষ হওয়ার সময় (exp) ইত্যাদি।

গ. সিগনেচার (Signature)

টোকেনটি কি আসল নাকি কেউ মাঝপথে পরিবর্তন করেছে, তা যাচাই করার জন্য সিগনেচার ব্যবহার করা হয়। হেডার, পে-লোড এবং একটি সিক্রেট কি (Secret Key) ব্যবহার করে এটি তৈরি করা হয়।


৩. সিকিউরিটি রিয়ালিটি চেক: যা জানা জরুরি

JWT ব্যবহারের সময় কিছু ভুল ধারণা আমাদের সিকিউরিটি রিস্ক বাড়িয়ে দিতে পারে:


  • এনকোডেড, এনক্রিপ্টেড নয়: মনে রাখবেন, JWT ডাটা এনক্রিপ্ট করে না, শুধু এনকোড করে। যে কেউ টোকেনটি ডিকোড করে পে-লোডের তথ্য দেখতে পারে। তাই Payload-এ কখনোই পাসওয়ার্ড বা সিক্রেট কি-র মতো সেনসিটিভ তথ্য রাখবেন না।

  • অখণ্ডতা বনাম গোপনীয়তা: সিগনেচারের কাজ হলো ডাটা টেম্পারিং বা পরিবর্তন রোধ করা, ডাটা লুকিয়ে রাখা নয়।


৪. আধুনিক ইমপ্লিমেন্টেশন ও বেস্ট প্র্যাকটিস

একটি সিকিউর সিস্টেম তৈরিতে নিচের বিষয়গুলো অনুসরণ করা বাধ্যতামূলক:


  1. HTTPS ব্যবহার: টোকেন চুরি রোধ করতে সবসময় এনক্রিপ্টেড কানেকশন (HTTPS) ব্যবহার করুন।

  2. স্বল্পমেয়াদী টোকেন (Short-lived Tokens): এক্সেস টোকেনের মেয়াদ সবসময় কম হওয়া উচিত (যেমন: ১৫-৩০ মিনিট)।

  3. রিফ্রেশ টোকেন স্ট্র্যাটেজি: দীর্ঘক্ষণ লগ-ইন রাখার জন্য রিফ্রেশ টোকেন এবং টোকেন রোটেশন (Token Rotation) পদ্ধতি ব্যবহার করুন।

  4. শক্তিশালী অ্যালগরিদম: সম্ভব হলে RS256 (Asymmetric key-based) ব্যবহার করুন, যা HS256 এর চেয়ে বেশি নিরাপদ।

  5. ব্ল্যাকলিস্টিং: প্রয়োজন হলে টোকেন ইনভ্যালিড করার জন্য ডাটাবেস বা রেডিস (Redis) ব্যবহার করে ব্ল্যাকলিস্টিং মেকানিজম রাখুন।


৫. সিদ্ধান্ত: কখন JWT ব্যবহার করবেন?

JWT সব সমস্যার সমাধান নয়। আপনার প্রজেক্টের ধরন অনুযায়ী সঠিক পদ্ধতি বেছে নিন। এখানে সেশন-বেসড অথেনটিকেশন এবং JWT-এর মধ্যে কিছু গুরুত্বপূর্ণ পার্থক্য তুলে ধরা হলো:

সেশন-বেসড অথেনটিকেশন:

  • স্কেলেবিলিটি: সেশন ডাটা সার্ভারে সংরক্ষণ করার কারণে এটি স্কেল করা কঠিন হতে পারে, বিশেষ করে যখন একাধিক সার্ভার ব্যবহার করা হয়।

  • কন্ট্রোল: সার্ভার যেকোনো সময় সেশন বাতিল বা ডিলিট করতে পারে, যা ব্যবহারকারীর অ্যাক্সেস তাৎক্ষণিকভাবে বন্ধ করে দেয়।

  • ব্যবহার: এটি সাধারণত ট্র্যাডিশনাল ওয়েব অ্যাপ্লিকেশনগুলির জন্য উপযুক্ত।

JWT (টোকেন-বেসড) অথেনটিকেশন:

  • স্কেলেবিলিটি: JWT হলো Stateless, অর্থাৎ সার্ভারে কোনো সেশন ডাটা সংরক্ষণ করা হয় না। এটি মাইক্রোসার্ভিস এবং ডিস্ট্রিবিউটেড সিস্টেমের জন্য অত্যন্ত স্কেলেবল।

  • কন্ট্রোল: একবার ইস্যু হওয়ার পর টোকেনটি তার মেয়াদ শেষ না হওয়া পর্যন্ত বৈধ থাকে। সার্ভারের পক্ষে তাৎক্ষণিকভাবে এটি বাতিল করা কঠিন, যদি না ব্ল্যাকলিস্টিং মেকানিজম ব্যবহার করা হয়।

  • ব্যবহার: মোবাইল অ্যাপ্লিকেশন, সিঙ্গেল-পেজ অ্যাপ্লিকেশন (SPA) এবং API-ভিত্তিক সিস্টেমের জন্য এটি বেশি উপযোগী।


উপসংহার

JWT কোনো জাদুকরী সমাধান নয়, বরং এটি একটি শক্তিশালী টুল। এটি ব্যবহারের আগে আপনার সিস্টেমের সিকিউরিটি রিকোয়ারমেন্ট এবং স্কেলেবিলিটি নিয়ে ভাবুন। সঠিক বেস্ট প্র্যাকটিস মেনে চললে JWT আপনার অ্যাপ্লিকেশনকে করতে পারে আরও গতিশীল এবং নিরাপদ।


তথ্যসূত্র ও আরও পড়াশোনা:

  1. RFC 7519 - JSON Web Token (JWT)

  2. JWT.io - Introduction to JSON Web Tokens

  3. OWASP - JSON Web Token Cheat Sheet

  4. Auth0 - JWT Best Practices

  5. JSON Web Token (JWT) arguments

Comments

Post a Comment

Popular posts from this blog

12 Best Websites to Practice Coding for Beginners

By Ashiq
Image
COURSES LOCATIONS CAREER SERVICES ABOUT US ENTERPRISE RESOURCES APPLY NOW 12 Best Websites to Practice Coding for Beginners Posted by Flatiron School  /  August 16, 2021 Facebook Twitter Email Share Learning to code has become one of the most essential skills for people entering the tech industry — but where do you start if you don’t already know how? There are plenty of places to practice coding for beginners, so find out the best and jump right in. READING TIME 6 MINS Indeed’s “ Best Jobs of 2020 ” ranked America’s most highly prized careers based on demand, pay, and potential for growth. Some of these included: software architect (1), full-stack developer (2), Java developer (6), data scientist (7), and IT security specialist (9). That means that of the top ten best jobs in America, half of them required coding skills. ‌ But, if you don’t have coding skills, where do you go to learn them? Some may turn to their local library, and others may have the time and money...
Read more

Using Generic in TypeScript about types in the Code

By Ashiq
Image
# Using Generic in TypeScript about types \<T> in the Code ## Question 1: Here what is this <T> means? ```typescript const addID = <T>(obj: T) => {   let ID = Math.floor(Math.random() * 100);   return ({...obj, ID}); } ``` ## Answer 1: In the code snippet you've provided, `<T>` is a **generic type parameter** in TypeScript. It allows you to write a function that can work with any type of object while still maintaining that object's specific type information. When you use the function `addID`, you can pass in an object of any type, and TypeScript will understand that the returned object will be of the same type as the input, plus the additional `ID` property. Here's a breakdown of how it works: ```typescript const addID = <T>(obj: T) => {   let ID = Math.floor(Math.random() * 100);   return ({...obj, ID}); } ``` - `<T>`: Declares a generic type `T`. - `(obj: T)`: Indicates that the function takes an argument `obj` of type `T`....
Read more

Solution: Codeforces Round #827 (Div. 4) Editorial

By Ashiq
  Solution: Codeforces Round #827 (Div. 4) Editorial 1742A - Sum Idea:  flamestorm Tutorial 1742A - Sum You only need to write an if statement and check if any of these are true:  a + b = c a + b = c ,  b + c = a b + c = a ,  c + a = b c + a = b . Solution #include < bits / stdc ++. h > using namespace std ; const int MAX = 200007 ; const int MOD = 1000000007 ; void solve () { int a , b , c ; cin >> a >> b >> c ; cout << (( a + b == c || c + a == b || b + c == a ) ? "YES\n" : "NO\n" ); } int main () { ios :: sync_with_stdio ( false ); cin . tie ( nullptr ); int tt ; cin >> tt ; for ( int i = 1 ; i <= tt ; i ++) { solve ();} // solve(); } 1742B - Increasing Idea:  mesanu Tutorial 1742B - Increasing If there are two elements with the same value, then the answer is  NO , because neither of these values is less than the other. Otherwise, the answer...
Read more