Quels sont les mécanismes d'authentification courants (sessions, JWT, OAuth) ?

Question

Accepted Answer

Les applications modernes utilisent divers **mécanismes d'authentification** — basés sur les sessions, basés sur les tokens (JWT), et l'authentification déléguée (OAuth/OpenID Connect). Comprendre le fonctionnement de chacun et leurs compromis est important pour implémenter une authentification sécurisée.

## Authentification basée sur les sessions

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Basée sur les tokens (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Pourquoi c'est important

Comprendre les mécanismes d'authentification courants est important car **l'authentification est fondamentale pour la plupart des applications**, et le choix et l'implémentation correcte affectent la sécurité et l'architecture, ce qui rend cette connaissance précieuse.

Les mécanismes principaux ont chacun des caractéristiques et des compromis. **L'authentification basée sur les sessions** (sessions côté serveur avec un cookie session-ID) donne au serveur le contrôle des sessions (révocation facile) mais est stateful (nécessitant un stockage de session partagé pour la scalabilité). **L'authentification JWT (basée sur les tokens)** (tokens signés auto-contenus vérifiés sans recherche serveur) est **stateless** (scalabilité facile, fonctionne bien pour les APIs, SPAs et mobile) mais a le compromis notable que **les tokens sont difficiles à révoquer avant l'expiration** (puisqu'ils sont auto-contenus, nécessitant une expiration courte plus des tokens de rafraîchissement) et doivent être stockés de manière sécurisée sans secrets dans la charge utile lisible — comprendre ces considérations JWT est important car les JWTs sont courants mais souvent mal utilisés. **OAuth 2.0 et OpenID Connect** (authentification déléguée — « Connexion avec Google/GitHub ») permettent aux utilisateurs de s'authentifier via des tiers de confiance sans partager les mots de passe avec votre application, le standard pour l'SSO et la connexion sociale.

Comprendre ces mécanismes, comment ils fonctionnent, et leurs **compromis** (statefulness des sessions et révocation facile vs statelessness du JWT et difficulté de révocation ; OAuth pour l'authentification déléguée) est important pour choisir la bonne approche (sessions pour les applications web traditionnelles avec contrôle serveur, JWT pour les APIs stateless, OAuth pour l'authentification déléguée/sociale) et l'implémenter de manière sécurisée.

L'authentification est fondamentale, et la maîtriser correctement (mécanisme correct, implémentation sécurisée) est critique pour la sécurité.

Puisque l'authentification est fondamentale pour la plupart des applications et que les mécanismes (sessions, JWT, OAuth) ont des différences importantes et des compromis affectant la sécurité et l'architecture, et puisque les comprendre est nécessaire pour implémenter l'authentification correctement, comprendre les mécanismes d'authentification courants est une connaissance de sécurité précieuse et pratiquement pertinente — importante pour le besoin fondamental d'authentification, permettant des choix éclairés entre les sessions, JWT et OAuth et leur implémentation sécurisée, un sujet clé pour construire des applications sécurisées avec une authentification appropriée.