Koji su česti mehanizmi autentifikacije (sesije, JWT, OAuth)?

Question

Accepted Answer

Moderne aplikacije koriste različite **mehanizme autentifikacije** — autentifikaciju temeljenu na sesijama, autentifikaciju temeljenu na tokenima (JWT) i delegiranu autentifikaciju (OAuth/OpenID Connect). Razumijevanje kako svaki od njih funkcionira i njihove trade-off-e važno je za implementaciju sigurne autentifikacije.

## Autentifikacija temeljena na sesijama

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Autentifikacija temeljena na tokenima (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Zašto je važno

Razumijevanje čestih mehanizama autentifikacije važno je jer je **autentifikacija fundamentalna za većinu aplikacija**, a pravilni odabir i implementacija utječu na sigurnost i arhitekturu, pa je ovo vrijedno znanje.

Glavni mehanizmi imaju svoje karakteristike i trade-off-e. **Autentifikacija temeljena na sesijama** (sesije na strani servera s cookie-om koji sadrži ID sesije) daje serveru kontrolu nad sesijama (laka revokacija) ali je stateful (zahtijeva dijeljeno spremanje sesija za skaliranje). **JWT (autentifikacija temeljena na tokenima)** (potpisani samostalni tokeni koji se verificiraju bez pretrage na serveru) je **stateless** (lako se skalira, dobro funkcionira za API-je, SPA-e i mobilne aplikacije) ali ima značajnu trade-off vrijednost da su **tokeni teški za revokaciju prije isteka** (budući da su samostalni, zahtijevaju kratak rok isteka plus refresh tokene) i moraju biti sigurno pohranjeni bez tajnih podataka u čitljivom payloadu — razumijevanje ovih JWT razmatranja važno je jer se JWT-ovi često koriste ali se često krivo koriste. **OAuth 2.0 i OpenID Connect** (delegirana autentifikacija — "Prijava preko Google-a/GitHub-a") omogućuju korisnicima da se autentificiraju preko pouzdanih trećih strana bez dijeljenja lozinki s vašom aplikacijom, standard za SSO i social login.

Razumijevanje ovih mehanizama, kako funkcioniraju i njihovi **trade-off-i** (statefulness sesija i laka revokacija naspram statelessnosti JWT-a i težine revokacije; OAuth za delegiranu autentifikaciju) važno je za odabir ispravnog pristupa (sesije za tradicionalne web aplikacije s kontrolom servera, JWT za stateless API-je, OAuth za delegiranu/social prijavu) i sigurnu implementaciju.

Autentifikacija je fundamentalna, i njezino ispravno rješavanje (ispravan mehanizam, sigurna implementacija) kritično je za sigurnost.

Budući da je autentifikacija fundamentalna za većinu aplikacija i mehanizmi (sesije, JWT, OAuth) imaju važne razlike i trade-off-e koji utječu na sigurnost i arhitekturu, te budući da je razumijevanje potrebno za ispravnu implementaciju autentifikacije, razumijevanje čestih mehanizama autentifikacije je vrijedno, praktično relevantno sigurnosno znanje — važno za fundamentalnu potrebu autentifikacije, omogućujući zdrave izbore između sesija, JWT-a i OAuth-a te njihovoj sigurnoj implementaciji, ključna tema za izgradujućih sigurnih aplikacija s odgovarajućom autentifikacijom.