¿Cuáles son los mecanismos de autenticación comunes (sesiones, JWT, OAuth)?

Question

Accepted Answer

Las aplicaciones modernas utilizan diversos **mecanismos de autenticación** — autenticación basada en sesiones, basada en tokens (JWT) y autenticación delegada (OAuth/OpenID Connect). Comprender cómo funciona cada uno y sus compensaciones es importante para implementar una autenticación segura.

## Autenticación basada en sesiones

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Basada en tokens (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Por qué es importante

Comprender los mecanismos de autenticación comunes es importante porque **la autenticación es fundamental para la mayoría de las aplicaciones**, y elegir e implementarla correctamente afecta la seguridad y la arquitectura, por lo que es un conocimiento valioso.

Cada uno de los mecanismos principales tiene características y compensaciones. **La autenticación basada en sesiones** (sesiones del lado del servidor con una cookie de ID de sesión) le da al servidor control sobre las sesiones (revocación fácil) pero es con estado (requiere almacenamiento de sesión compartida para escalar). **La autenticación JWT (basada en tokens)** (tokens firmados autónomos verificados sin búsqueda en el servidor) es **sin estado** (escalable fácilmente, funciona bien para APIs, SPAs y aplicaciones móviles) pero tiene la compensación notable de que **los tokens son difíciles de revocar antes del vencimiento** (ya que son autónomos, requieren vencimiento corto más tokens de actualización) y deben almacenarse de manera segura sin secretos en la carga útil legible — comprender estas consideraciones JWT es importante porque los JWT son comunes pero se usan mal con frecuencia. **OAuth 2.0 y OpenID Connect** (autenticación delegada — "Iniciar sesión con Google/GitHub") permiten que los usuarios se autentiquen a través de terceros de confianza sin compartir contraseñas con tu aplicación, el estándar para SSO e inicio de sesión social.

Comprender estos mecanismos, cómo funcionan y sus **compensaciones** (sesiones con estado y revocación fácil frente a JWT sin estado y dificultad de revocación; OAuth para autenticación delegada) es importante para elegir el enfoque correcto (sesiones para aplicaciones web tradicionales con control del servidor, JWT para APIs sin estado, OAuth para inicio de sesión delegado/social) e implementarlo de manera segura.

La autenticación es fundamental, y hacerlo bien (mecanismo correcto, implementación segura) es crítico para la seguridad.

Ya que la autenticación es fundamental para la mayoría de las aplicaciones y los mecanismos (sesiones, JWT, OAuth) tienen diferencias importantes y compensaciones que afectan la seguridad y la arquitectura, y ya que comprender cómo funcionan es necesario para implementar la autenticación correctamente, entender los mecanismos de autenticación comunes es un conocimiento práctico y valioso sobre seguridad — importante para la necesidad fundamental de autenticación, permitiendo decisiones fundamentadas entre sesiones, JWT y OAuth e implementación segura de estos, un tema clave para construir aplicaciones seguras con autenticación adecuada.