Hvad er almindelige autentiseringsmekanismer (sessions, JWT, OAuth)?

Question

Accepted Answer

Moderne applikationer bruger forskellige **autentiseringsmekanismer** — session-baseret, token-baseret (JWT) og delegeret autentisering (OAuth/OpenID Connect). Det er vigtigt at forstå, hvordan hver enkelt fungerer, og deres afvejninger, for at implementere sikker autentisering.

## Session-baseret autentisering

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Token-baseret (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Hvorfor det betyder noget

Det er vigtigt at forstå almindelige autentiseringsmekanismer, fordi **autentisering er fundamental for de fleste applikationer**, og at vælge og implementere det korrekt påvirker sikkerhed og arkitektur, så det er værdifuld viden.

De vigtigste mekanismer har hver karakteristika og afvejninger. **Session-baseret autentisering** (server-side sessions med en session-ID cookie) giver serveren kontrol over sessions (nem tilbagekaldelse), men er stateful (kræver delt session-lagerplads for at skalere). **JWT (token-baseret)** autentisering (signerede selvstændige tokens verificeret uden server-opslag) er **stateless** (skalerer let, fungerer godt til APIs, SPAs og mobil), men har den væsentlige afvejning, at **tokens er svære at tilbagekalde før udløb** (da de er selvstændige, hvilket kræver kort udløb plus refresh tokens) og skal lagres sikkert uden hemmeligheder i den læsbare payload — det er vigtigt at forstå disse JWT-overvejelser, da JWTs er almindelige, men almindeligt misbrugt. **OAuth 2.0 og OpenID Connect** (delegeret autentisering — "Log ind med Google/GitHub") lader brugere autentisere sig via betroede tredjepart uden at dele adgangskoder med din app, standarden for SSO og social login.

At forstå disse mekanismer, hvordan de fungerer, og deres **afvejninger** (session-tilstand og nem tilbagekaldelse vs JWT-tilstandsløshed og tilbagekaldelsesvanskelig; OAuth til delegeret autentisering) er vigtig for at vælge den rigtige tilgang (sessions til traditionelle webapps med server-kontrol, JWT til stateless APIs, OAuth til delegeret/social login) og implementere det sikkert.

Autentisering er fundamental, og at få det rigtigt (korrekt mekanisme, sikker implementering) er kritisk for sikkerhed.

Da autentisering er fundamental for de fleste applikationer, og mekanismerne (sessions, JWT, OAuth) har vigtige forskelle og afvejninger, der påvirker sikkerhed og arkitektur, og da det at forstå dem er nødvendigt for korrekt implementering af autentisering, er forståelse af almindelige autentiseringsmekanismer værdifuld, praktisk relevant sikkerhedsviden — vigtig for det fundamentale behov for autentisering, som muliggør velunderbyggede valg blandt sessions, JWT og OAuth og deres sikre implementering, et nøgleemne for opbygning af sikre applikationer med korrekt autentisering.