Cad iad na meicníochtaí fíordheimhnithe coitianta (seisiúin, JWT, OAuth)?

Question

Accepted Answer

Úsáideann feidhmchlár nua-aimseartha **meicníochtaí fíordheimhnithe** éagsúla — bunaithe ar sheisiúin, bunaithe ar thócain (JWT), agus fíordheimhnithe tríd an tríú páirtí (OAuth/OpenID Connect). Tá sé tábhachtach tuiscint a bheith agat ar an gcaoi ar oibríonn gach ceann acu, agus ar na barter-oifigí atá ann, d'fhonn fíordheimhnithe slán a chur i bhfeidhm.

## Fíordheimhnithe bunaithe ar sheisiúin

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Bunaithe ar thócain (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Cén fáth a bhíonn tábhacht ann

Tá sé tábhachtach tuiscint a bheith agat ar mheicníochtaí coitianta fíordheimhnithe toisc go bhfuil **fíordheimhnithe bunúsach do bhformhór na bhfeidhmchlár**, agus má roghnaíonn tú agus á chur i bhfeidhm ar bhealach ceart, bíonn tionchar aici ar dhíghalra agus ar thógáil, agus mar sin is eolas luachmhar a bhíonn ann.

Tá fearaistí agus barter-oifigí ar leith ag gach meicníochtaí príobháideachta. **Fíordheimhnithe bunaithe ar sheisiúin** (seisiúin ar thaobh an fhriothóra le fianán session-ID) a thugann smacht don fhriothóra ar sheisiúin (aisghairm simplí) ach tá sé stádaithe (de dhíth stóras comhroinnite seisiúin chun scála a dhéanamh). **JWT (bunaithe ar thócain)** fíordheimhnithe (tócain a chriochnaítear go féinlárnach a dhéimhniú gan cuardach fhriothóra) tá sé **stádaithe** (scála ar éigean, ag feidhmiú go maith do APIs, SPAs, agus fón póca) ach tá an barter-oifig suntasach ann go bhfuil **tócain deacair a aisghairm roimh éag** (toisc go bhfuil siad féinlárnach, de dhíth am gearr plus tócain athnuachana) agus ní mór iad a stóráil go slán gan rúnda ar an payload inléite — tá sé tábhachtach na mheas JWT seo a thuiscint toisc go bhfuil JWTs coitianta ach go minic mísúilte. **OAuth 2.0 agus OpenID Connect** (fíordheimhnithe tríd an tríú páirtí — "Logáil isteach le Google/GitHub") ligint do úsáideoirí fíordheimhnithe a dhéanamh tríd an tríú páirtí ionrach gan focail fhaire a roinnt le do app, an caighdeán do SSO agus logáil isteach sóisialta.

Tá sé tábhachtach tuiscint a bheith agat ar na meicníochtaí seo, ar an gcaoi ar oibríonn siad, agus ar a **barter-oifigí** (stádaitheacht seisiúin agus aisghairm simplí i gcomparáid le JWT stádaitheacht agus deacracht aisghairm; OAuth do fhíordheimhnithe tríd an tríú páirtí) ar mhaithe le rogha an chur chuige cheart (seisiúin do ghnáth-apps gréasáin le smacht fhriothóra, JWT do APIs stádaithe, OAuth do logáil isteach tríd an tríú páirtí/sóisialta) agus é a chur i bhfeidhm go slán.

Tá fíordheimhnithe bunúsach, agus é a dhéanamh i gceart (meicníochtaí ceart, cur i bhfeidhm slán) tábhachtach críoch-ghéarr do dhíghalra.

Toisc go bhfuil fíordheimhnithe bunúsach do bhformhór na bhfeidhmchlár agus go bhfuil difríochtaí agus barter-oifigí tábhachtacha ag na meicníochtaí (seisiúin, JWT, OAuth) ag baint do dhíghalra agus do thógáil, agus toisc go bhfuil sé riachtanach tuiscint a bheith agat orthu ar mhaithe le fíordheimhnithe a chur i bhfeidhm ar bhealach ceart, is eolas díghalra practiciúil agus fónta a bhíonn i gceist le meicníochtaí coitianta fíordheimhnithe a thuiscint — tábhachtach don ghá bhunúsach a bhíonn ann i gcomhair fíordheimhnithe, ag cumasú roghanna ciallmhara idir seisiúin, JWT, agus OAuth agus a gcur i bhfeidhm slán, ábhar príobháideach ar feidhmchlár slán le fíordheimhnithe cuí a thógáil.