Was sind gängige Authentifizierungsmechanismen (Sessions, JWT, OAuth)?

Question

Accepted Answer

Moderne Anwendungen verwenden verschiedene **Authentifizierungsmechanismen** — sitzungsbasierte, tokenbasierte (JWT) und delegierte Authentifizierung (OAuth/OpenID Connect). Zu verstehen, wie jede funktioniert und welche Trade-offs es gibt, ist wichtig für die Implementierung sicherer Authentifizierung.

## Sitzungsbasierte Authentifizierung

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Tokenbasiert (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Warum es wichtig ist

Das Verständnis gängiger Authentifizierungsmechanismen ist wichtig, weil **Authentifizierung grundlegend für die meisten Anwendungen ist**, und die richtige Wahl und Implementierung beeinflussen Sicherheit und Architektur, daher ist es wertvolles Wissen.

Die wichtigsten Mechanismen haben jeweils Merkmale und Trade-offs. **Sitzungsbasierte Authentifizierung** (serverseitige Sitzungen mit einem Sitzungs-ID-Cookie) gibt dem Server die Kontrolle über Sitzungen (einfache Sperrung), ist aber zustandsbehaftet (erfordert gemeinsamen Sitzungsspeicher zur Skalierung). **JWT-Authentifizierung (tokenbasiert)** (signierte, in sich geschlossene Token, die ohne Serverabfrage verifiziert werden) ist **zustandslos** (skaliert leicht, funktioniert gut für APIs, SPAs und Mobile), hat aber den bemerkenswerten Trade-off, dass **Token vor Ablauf schwer zu sperren sind** (da sie in sich geschlossen sind, kurze Gültigkeitsdauer plus Refresh-Token erforderlich sind) und sicher gespeichert werden müssen ohne Geheimnisse in der lesbaren Nutzlast — das Verständnis dieser JWT-Überlegungen ist wichtig, da JWTs häufig sind, aber häufig falsch verwendet werden. **OAuth 2.0 und OpenID Connect** (delegierte Authentifizierung — „Mit Google/GitHub anmelden"), lassen Benutzer sich über vertrauenswürdige Dritte authentifizieren, ohne Passwörter mit Ihrer App zu teilen, der Standard für SSO und Social Login.

Das Verständnis dieser Mechanismen, wie sie funktionieren, und ihrer **Trade-offs** (Sitzungszustandsbehaftung und einfache Sperrung gegenüber JWT-Zustandslosigkeit und Sperrschwierigkeit; OAuth für delegierte Authentifizierung) ist wichtig für die Wahl des richtigen Ansatzes (Sitzungen für traditionelle Web-Apps mit Serverkontrolle, JWT für zustandslose APIs, OAuth für delegierte/Social-Login) und für die sichere Implementierung.

Authentifizierung ist grundlegend, und korrekte Umsetzung (korrekter Mechanismus, sichere Implementierung) ist entscheidend für Sicherheit.

Da Authentifizierung grundlegend für die meisten Anwendungen ist und die Mechanismen (Sessions, JWT, OAuth) wichtige Unterschiede und Trade-offs haben, die Sicherheit und Architektur beeinflussen, und da deren Verständnis notwendig ist für die korrekte Implementierung von Authentifizierung, ist das Verständnis gängiger Authentifizierungsmechanismen wertvolles, praktisch relevantes Sicherheitswissen — wichtig für das grundlegende Bedürfnis der Authentifizierung, ermöglicht fundierte Entscheidungen zwischen Sessions, JWT und OAuth und deren sichere Implementierung, ein Schlüsselthema für den Aufbau sicherer Anwendungen mit ordnungsgemäßer Authentifizierung.