Base64URL और JWT: decode करना trust करना नहीं है
JWT Base64URL इस्तेमाल करता है। Payload पढ़ें, फिर verify करें।
तीन हिस्से
Signed JWT में आम तौर पर header, payload और signature होते हैं, जिन्हें dot अलग करता है।
दो characters बदलते हैं
Base64URL + को - और / को _ से बदलता है। JWT अंत का = padding भी हटाता है।
Read validation नहीं है
Payload से iss, sub, aud या exp पढ़ सकते हैं। यह signature या issuer साबित नहीं करता। Server सही key और algorithm से signature या MAC verify करता है।
alg पर ध्यान दें
Application तय करती है कौन से algorithm स्वीकार हैं। अनपेक्षित alg validation fail करे।
Debug flow
Dot से split करें, पहले दो parts को Base64URL decode करें, tool मांगे तो padding जोड़ें, फिर signature, issuer, audience और time check करें।