Melyek a gyakori hitelesítési mechanizmusok (session-ek, JWT, OAuth)?

Question

Accepted Answer

A modern alkalmazások különféle **hitelesítési mechanizmusokat** használnak — session-alapúakat, token-alapúakat (JWT) és delegált hitelesítést (OAuth/OpenID Connect). Annak megértése, hogy mindegyik hogyan működik, és azok kompromisszumai, fontos a biztonságos hitelesítés megvalósításához.

## Session-alapú hitelesítés

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Token-alapú (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Miért fontos

A gyakori hitelesítési mechanizmusok megértése azért fontos, mert **a hitelesítés alapvető a legtöbb alkalmazásban**, és annak helyes megválasztása és megvalósítása befolyásolja a biztonságot és az architektúrát, így értékes tudás.

A fő mechanizmusoknak mindegyikének vannak jellemzői és kompromisszumai. A **session-alapú hitelesítés** (szerver oldali session-ök session-ID cookie-val) adja a szervernek a session-ök feletti kontrollt (egyszerű revokáció), de állapotfüggő (méretezéshez megosztott session-tárolót igényel). A **JWT (token-alapú)** hitelesítés (aláírt, önálló tokenek, amelyeket szerver-lekérdezés nélkül lehet ellenőrizni) **állapotmentes** (könnyen skálázható, jól működik API-khoz, SPA-khoz és mobilalkalmazásokhoz), de a figyelemreméltó kompromisszum, hogy a **tokenek revokálása nehéz az lejárat előtt** (mivel önálló tartalmúak, rövid lejáratot és refresh tokeneket igényelnek) és biztonságosan kell tárolni, az olvasható payload-ban nincsenek titkok — ezeknek a JWT megfontolásoknak a megértése fontos, mivel a JWT-k gyakorinak, de gyakran helytelenül használtnak. Az **OAuth 2.0 és OpenID Connect** (delegált hitelesítés — "Bejelentkezés Google-lel/GitHubbal") lehetővé teszi a felhasználók hitelesítését megbízható harmadik felek által anélkül, hogy jelszavukat megosztanák az alkalmazással, ez az SSO és közösségi bejelentkezés szabványa.

Annak megértése, hogy ezek a mechanizmusok hogyan működnek és azok **kompromisszumai** (session állapotfüggősége és könnyű revokációja versus JWT állapotmentessége és revokáció nehézsége; OAuth delegált hitelesítéshez) fontos a helyes megközelítés kiválasztásához (session-ök a hagyományos webalkalmazásokhoz szerver kontrolllal, JWT az állapotmentes API-khoz, OAuth delegált/közösségi bejelentkezéshez) és annak biztonságos megvalósításához.

A hitelesítés alapvető, és annak helyes megvalósítása (helyes mechanizmus, biztonságos implementáció) kritikus a biztonság szempontjából.

Mivel a hitelesítés alapvető a legtöbb alkalmazásban, és a mechanizmusok (session-ek, JWT, OAuth) fontos különbségekkel és kompromisszumokkal rendelkeznek, amelyek befolyásolják a biztonságot és az architektúrát, és mivel megértésük szükséges ahhoz, hogy helyesen implementáljuk a hitelesítést, a gyakori hitelesítési mechanizmusok megértése értékes, gyakorlatilag releváns biztonsági tudás — a hitelesítés alapvető igényéhez fontos, lehetővé teszi a session-ek, JWT és OAuth közötti megalapozott választást és azok biztonságos megvalósítását, ez egy kulcsfontosságú téma a megfelelő hitelesítéssel rendelkező biztonságos alkalmazások építéséhez.