सामान्य ऑथेंटिकेशन तंत्र क्या हैं (sessions, JWT, OAuth)?

Question

Accepted Answer

आधुनिक एप्लिकेशन विभिन्न **ऑथेंटिकेशन तंत्रों** का उपयोग करते हैं — session-आधारित, token-आधारित (JWT), और delegated ऑथेंटिकेशन (OAuth/OpenID Connect)। प्रत्येक कैसे काम करता है, और उनके trade-offs को समझना सुरक्षित ऑथेंटिकेशन लागू करने के लिए महत्वपूर्ण है।

## Session-आधारित ऑथेंटिकेशन

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Token-आधारित (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## यह क्यों महत्वपूर्ण है

सामान्य ऑथेंटिकेशन तंत्रों को समझना महत्वपूर्ण है क्योंकि **ऑथेंटिकेशन अधिकांश एप्लिकेशन के लिए मौलिक है**, और इसे सही ढंग से चुनना और लागू करना सुरक्षा और आर्किटेक्चर को प्रभावित करता है, इसलिए यह मूल्यवान ज्ञान है।

मुख्य तंत्रों में से प्रत्येक की विशेषताएँ और trade-offs हैं। **Session-आधारित ऑथेंटिकेशन** (session-ID कुकी के साथ सर्वर-साइड sessions) सर्वर को sessions पर नियंत्रण देता है (आसान revocation) लेकिन stateful है (scale करने के लिए साझा session storage की आवश्यकता)। **JWT (token-आधारित)** ऑथेंटिकेशन (सर्वर lookup के बिना सत्यापित किए गए signed self-contained tokens) **stateless** है (आसानी से scale होता है, APIs, SPAs, और mobile के लिए अच्छा काम करता है) लेकिन इसका उल्लेखनीय trade-off है कि **tokens को expiry से पहले revoke करना कठिन है** (चूँकि वे self-contained हैं, short expiry और refresh tokens की आवश्यकता होती है) और उन्हें सुरक्षित रूप से संग्रहीत किया जाना चाहिए जिसमें readable payload में कोई secrets न हो — इन JWT विचारों को समझना महत्वपूर्ण है क्योंकि JWTs सामान्य हैं लेकिन आमतौर पर गलत तरीके से उपयोग किए जाते हैं। **OAuth 2.0 और OpenID Connect** (delegated ऑथेंटिकेशन — "Log in with Google/GitHub") उपयोगकर्ताओं को आपके ऐप के साथ पासवर्ड साझा किए बिना भरोसेमंद तीसरे पक्षों के माध्यम से ऑथेंटिकेट करने देते हैं, SSO और social login के लिए मानक।

इन तंत्रों, वे कैसे काम करते हैं, और उनके **trade-offs** (session statefulness और आसान revocation बनाम JWT statelessness और revocation कठिनाई; delegated auth के लिए OAuth) को समझना सही दृष्टिकोण चुनने (सर्वर नियंत्रण वाले पारंपरिक वेब ऐप्स के लिए sessions, stateless APIs के लिए JWT, delegated/social login के लिए OAuth) और इसे सुरक्षित रूप से लागू करने के लिए महत्वपूर्ण है।

ऑथेंटिकेशन मौलिक है, और इसे सही करना (सही तंत्र, सुरक्षित कार्यान्वयन) सुरक्षा के लिए महत्वपूर्ण है।

चूँकि ऑथेंटिकेशन अधिकांश एप्लिकेशन के लिए मौलिक है और तंत्रों (sessions, JWT, OAuth) में महत्वपूर्ण अंतर और trade-offs हैं जो सुरक्षा और आर्किटेक्चर को प्रभावित करते हैं, और चूँकि उन्हें समझना ऑथेंटिकेशन को सही ढंग से लागू करने के लिए आवश्यक है, सामान्य ऑथेंटिकेशन तंत्रों को समझना मूल्यवान, व्यावहारिक रूप से प्रासंगिक सुरक्षा ज्ञान है — ऑथेंटिकेशन की मौलिक आवश्यकता के लिए महत्वपूर्ण, sessions, JWT, और OAuth के बीच सही विकल्प और उनके सुरक्षित कार्यान्वयन को सक्षम करना, उचित ऑथेंटिकेशन के साथ सुरक्षित एप्लिकेशन बनाने के लिए एक मुख्य विषय।