Apa saja mekanisme autentikasi yang umum (sessions, JWT, OAuth)?

Question

Accepted Answer

Aplikasi modern menggunakan berbagai **mekanisme autentikasi** — berbasis session, berbasis token (JWT), dan autentikasi delegasi (OAuth/OpenID Connect). Memahami cara kerja masing-masing, dan trade-off mereka, penting untuk mengimplementasikan autentikasi yang aman.

## Autentikasi berbasis session

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Berbasis token (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Mengapa ini penting

Memahami mekanisme autentikasi yang umum penting karena **autentikasi adalah fundamental bagi kebanyakan aplikasi**, dan memilih serta mengimplementasikannya dengan benar mempengaruhi keamanan dan arsitektur, sehingga ini merupakan pengetahuan yang berharga.

Masing-masing mekanisme utama memiliki karakteristik dan trade-off. **Autentikasi berbasis session** (server-side sessions dengan session-ID cookie) memberikan kontrol server atas sessions (revokasi mudah) tetapi stateful (memerlukan shared session storage untuk scaling). **Autentikasi JWT (berbasis token)** (token self-contained yang ditandatangani dan diverifikasi tanpa pencarian server) adalah **stateless** (scaling mudah, bekerja baik untuk APIs, SPAs, dan mobile) tetapi memiliki trade-off penting bahwa **token sulit untuk direvokasi sebelum kadaluarsa** (karena bersifat self-contained, memerlukan expiry pendek ditambah refresh tokens) dan harus disimpan dengan aman tanpa secrets di payload yang terbaca — memahami pertimbangan JWT ini penting karena JWTs umum namun sering disalahgunakan. **OAuth 2.0 dan OpenID Connect** (autentikasi delegasi — "Login dengan Google/GitHub") memungkinkan pengguna untuk autentikasi melalui pihak ketiga terpercaya tanpa berbagi password dengan aplikasi Anda, standar untuk SSO dan social login.

Memahami mekanisme ini, cara kerjanya, dan **trade-off** mereka (statefulness session dan revokasi mudah vs statefulness JWT dan kesulitan revokasi; OAuth untuk autentikasi delegasi) penting untuk memilih pendekatan yang tepat (sessions untuk web apps tradisional dengan kontrol server, JWT untuk stateless APIs, OAuth untuk delegasi/social login) dan mengimplementasikannya dengan aman.

Autentikasi adalah fundamental, dan melakukannya dengan benar (mekanisme yang tepat, implementasi aman) adalah kritis untuk keamanan.

Karena autentikasi adalah fundamental bagi kebanyakan aplikasi dan mekanisme (sessions, JWT, OAuth) memiliki perbedaan penting dan trade-off yang mempengaruhi keamanan dan arsitektur, dan karena memahaminya diperlukan untuk mengimplementasikan autentikasi dengan benar, memahami mekanisme autentikasi yang umum adalah pengetahuan keamanan yang berharga dan praktis — penting untuk kebutuhan fundamental autentikasi, memungkinkan pilihan yang sound diantara sessions, JWT, dan OAuth serta implementasi aman mereka, topik kunci untuk membangun aplikasi yang aman dengan autentikasi yang proper.