আধুনিক অ্যাপ্লিকেশনগুলি বিভিন্ন প্রমাণীকরণ প্রক্রিয়া ব্যবহার করে — সেশন-ভিত্তিক, টোকেন-ভিত্তিক (JWT), এবং প্রতিনিধিত্বশীল প্রমাণীকরণ (OAuth/OpenID Connect)। প্রতিটি কীভাবে কাজ করে এবং তাদের ট্রেড-অফগুলি বোঝা নিরাপদ প্রমাণীকরণ বাস্তবায়নের জন্য গুরুত্বপূর্ণ।
সেশন-ভিত্তিক প্রমাণীকরণ
text
SESSION-based (traditional):
→ user logs in → server creates a SESSION (stored server-side) → sends a session ID
cookie → the browser sends it with each request → server looks up the session
✓ server controls sessions (easy to revoke); simple; cookie auto-sent
✗ stateful (server stores sessions); scaling needs shared session storage
টোকেন-ভিত্তিক (JWT)
text
JWT (JSON Web Token):
→ user logs in → server issues a SIGNED token containing claims (user id, etc.) →
client stores it → sends it (usually in an Authorization header) per request →
server VERIFIES the SIGNATURE (no server-side lookup needed)
✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
⚠️ store securely; don't put secrets in the (readable) payload; validate properly