Quali sono i meccanismi di autenticazione comuni (sessioni, JWT, OAuth)?

Question

Accepted Answer

Le applicazioni moderne utilizzano vari **meccanismi di autenticazione** — basati su sessioni, basati su token (JWT) e autenticazione delegata (OAuth/OpenID Connect). Comprendere come funziona ciascuno e i relativi compromessi è importante per implementare un'autenticazione sicura.

## Autenticazione basata su sessioni

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Basata su token (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Perché è importante

Comprendere i meccanismi di autenticazione comuni è importante perché **l'autenticazione è fondamentale per la maggior parte delle applicazioni**, e sceglierla e implementarla correttamente influisce sulla sicurezza e sull'architettura, quindi è una conoscenza preziosa.

I meccanismi principali hanno ciascuno caratteristiche e compromessi. **L'autenticazione basata su sessioni** (sessioni lato server con cookie session-ID) dà al server il controllo sulle sessioni (revoca facile) ma è con stato (richiedendo spazio di archiviazione della sessione condiviso per scalare). **L'autenticazione JWT (basata su token)** (token firmati e autonomi verificati senza ricerca sul server) è **senza stato** (scalando facilmente, funzionando bene per API, SPA e dispositivi mobili) ma ha il notevole compromesso che **i token sono difficili da revocare prima della scadenza** (poiché sono autonomi, richiedono breve scadenza più token di aggiornamento) e devono essere archiviati in modo sicuro senza segreti nel payload leggibile — comprendere queste considerazioni JWT è importante poiché i JWT sono comuni ma comunemente usati in modo errato. **OAuth 2.0 e OpenID Connect** (autenticazione delegata — "Accedi con Google/GitHub") permettono agli utenti di autenticarsi tramite terze parti affidabili senza condividere password con la tua app, lo standard per SSO e accesso social.

Comprendere questi meccanismi, come funzionano e i loro **compromessi** (statefulness della sessione e facile revoca rispetto a statelessness JWT e difficoltà di revoca; OAuth per auth delegata) è importante per scegliere l'approccio giusto (sessioni per app web tradizionali con controllo del server, JWT per API senza stato, OAuth per accesso delegato/social) e implementarlo in modo sicuro.

L'autenticazione è fondamentale e farla bene (meccanismo corretto, implementazione sicura) è critico per la sicurezza.

Poiché l'autenticazione è fondamentale per la maggior parte delle applicazioni e i meccanismi (sessioni, JWT, OAuth) hanno importanti differenze e compromessi che influiscono sulla sicurezza e sull'architettura, e poiché comprendere questi meccanismi è necessario per implementare l'autenticazione correttamente, comprendere i meccanismi di autenticazione comuni è una conoscenza di sicurezza preziosa e praticamente rilevante — importante per la necessità fondamentale di autenticazione, permettendo scelte consapevoli tra sessioni, JWT e OAuth e la loro implementazione sicura, un argomento chiave per costruire applicazioni sicure con autenticazione appropriata.