Jaké jsou běžné autentizační mechanismy (relace, JWT, OAuth)?

Question

Accepted Answer

Moderní aplikace používají různé **autentizační mechanismy** — ověřování na základě relací, ověřování na základě tokenů (JWT) a delegované ověřování (OAuth/OpenID Connect). Pochopení fungování jednotlivých mechanismů a jejich kompromisů je důležité pro implementaci bezpečné autentizace.

## Autentizace na základě relací

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Autentizace na základě tokenů (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Proč je to důležité

Pochopení běžných autentizačních mechanismů je důležité, protože **autentizace je základem většiny aplikací** a správný výběr a implementace ovlivňují bezpečnost a architekturu, takže je to cenné znalosti.

Hlavní mechanismy mají své charakteristiky a kompromisy. **Autentizace na základě relací** (serverové relace s cookie identifikátorem relace) dává serveru kontrolu nad relacemi (snadné odvolání), ale je stavová (vyžaduje sdílené úložiště relací pro škálování). **Autentizace JWT (na základě tokenů)** (podepsané samostatné tokeny ověřované bez vyhledávání serveru) je **bezstavová** (snadné škálování, vhodné pro API, SPA a mobilní aplikace), ale má významný kompromis, že **tokeny je těžké odvolat před expirací** (protože jsou samostatné, vyžadují krátkou dobu platnosti plus obnovovací tokeny) a musí se bezpečně ukládat bez tajemství v čitelné zátěži — pochopení těchto úvah JWT je důležité, protože JWT jsou běžné, ale často nesprávně používané. **OAuth 2.0 a OpenID Connect** (delegované ověřování — "Přihlásit se pomocí Google/GitHub") umožňují uživatelům ověřit se prostřednictvím důvěryhodných třetích stran bez sdělení hesel vaší aplikaci, je to standard pro SSO a přihlašování prostřednictvím sociálních sítí.

Pochopení těchto mechanismů, jejich fungování a **kompromisů** (stavovost relací a snadné odvolání oproti bezstavovosti JWT a obtížnému odvolání; OAuth pro delegované ověřování) je důležité pro výběr správného přístupu (relace pro tradiční webové aplikace se serverovou kontrolou, JWT pro bezstavová API, OAuth pro delegované/sociální přihlašování) a jeho bezpečnou implementaci.

Autentizace je základní, a její správná realizace (správný mechanismus, bezpečná implementace) je kritická pro bezpečnost.

Protože je autentizace základem většiny aplikací a jednotlivé mechanismy (relace, JWT, OAuth) mají důležité rozdíly a kompromisy ovlivňující bezpečnost a architekturu, a protože jejich pochopení je nezbytné pro správnou implementaci autentizace, je pochopení běžných autentizačních mechanismů cenné a prakticky relevantní znalosti zabezpečení — důležité pro základní potřebu autentizace, umožňující správné volby mezi relacemi, JWT a OAuth a jejich bezpečnou implementaci, klíčové téma pro budování bezpečných aplikací se správnou autentizací.