Mitkä ovat yleisiä todentamismekanismeja (istunnot, JWT, OAuth)?

Question

Accepted Answer

Modernit sovellukset käyttävät erilaisia **todentamismekanismeja** — istuntopohjaisia, tokenpohjaisia (JWT) ja delegoituja todentamisratkaisuja (OAuth/OpenID Connect). Jokaisen toimintaperiaatteen ja kompromissien ymmärtäminen on tärkeää turvallisen todentamisen toteuttamiseksi.

## Istuntopohjainen todentaminen

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Tokenpohjainen (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Miksi se on tärkeää

Yleisten todentamismekanismien ymmärtäminen on tärkeää, koska **todentaminen on perustavanlaatuista useimmissa sovelluksissa**, ja sen valitseminen ja toteuttaminen oikein vaikuttaa turvallisuuteen ja arkkitehtuuriin, joten se on arvokasta tietoa.

Kaikilla päämekanismeilla on omat ominaisuudet ja kompromissit. **Istuntopohjainen todentaminen** (palvelimen puoleiset istunnot istunto-ID-evästeen kanssa) antaa palvelimelle hallinnan istuntoihin (helppo kumoaminen), mutta on tilallinen (vaatii jaetun istuntotallennuksen skaalautumiseksi). **JWT (tokenpohjainen) todentaminen** (allekirjoitetut itsenäiset tokenit, jotka voidaan varmistaa ilman palvelimen hakua) on **tilaton** (skaalautuu helposti, toimii hyvin API:ille, SPA:ille ja mobiilisovelluksille), mutta sillä on merkittävä kompromissi, että **tokeneita on vaikea kumoaa ennen voimassaolon päättymistä** (koska ne ovat itsenäisiä, ne vaativat lyhyitä voimassaoloaikoja ja päivitystokeneita) ja ne on tallennettava turvallisesti ilman salaisuuksia luettavassa payload-osassa — näiden JWT-näkökohtien ymmärtäminen on tärkeää, koska JWT:t ovat yleisiä, mutta niitä käytetään usein väärin. **OAuth 2.0 ja OpenID Connect** (delegoitu todentaminen — "Kirjaudu sisään Googlelta/GitHubista") antavat käyttäjille mahdollisuuden todentautua luotettavien kolmansien osapuolten kautta ilman salasanan jakamista sovelluksellesi, standardi kertakirjautumiselle ja sosiaalisen kirjautumisen ratkaisuille.

Näiden mekanismien, niiden toimintaperiaatteen ja niiden **kompromissien** (istuntojen tilallisuus ja helppo kumoaminen vs JWT:n tilallisuus ja kumoamisen vaikeus; OAuth delegoidulle todentamiselle) ymmärtäminen on tärkeää oikean lähestymistavan valitsemiseksi (istunnot perinteisille web-sovelluksille palvelimen hallinnalla, JWT tilattomille API:ille, OAuth delegoidulle/sosiaaliselle kirjautumiselle) ja sen turvalliselle toteuttamiselle.

Todentaminen on perustavanlaatuista, ja sen oikea toteuttaminen (oikea mekanismi, turvallinen toteutus) on kriittistä turvallisuuden kannalta.

Koska todentaminen on perustavanlaatuista useimmissa sovelluksissa ja mekanismeilla (istunnot, JWT, OAuth) on tärkeitä eroja ja kompromisseja, jotka vaikuttavat turvallisuuteen ja arkkitehtuuriin, ja koska niiden ymmärtäminen on välttämätöntä todentamisen oikean toteuttamisen kannalta, yleisten todentamismekanismien ymmärtäminen on arvokasta, käytännössä merkityksellistä turvallisuuden tietoa — tärkeää todentamisen perustavanlaatuiselle tarpeelle, mahdollistaa järkevät valinnat istuntojen, JWT:n ja OAuth:n välillä ja niiden turvallisen toteutuksen, keskeinen aihe turvallisten sovellusten rakentamiseen asianmukaisella todentamisella.