Kokie yra dažniausiai naudojami autentifikacijos mechanizmai (sesijos, JWT, OAuth)?

Question

Accepted Answer

Šiuolaikinės aplikacijos naudoja įvairius **autentifikacijos mechanizmus** — sesijomis pagrįstą, žetonais pagrįstą (JWT) ir deleguotą autentifikaciją (OAuth/OpenID Connect). Svarbu suprasti, kaip kiekvienas iš jų veikia ir kokie yra jų kompromisai, norint įdiegti saugią autentifikaciją.

## Sesijomis pagrįsta autentifikacija

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Žetonais pagrįsta (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Kodėl tai svarbu

Suvokti dažniausius autentifikacijos mechanizmus yra svarbu, nes **autentifikacija yra pagrindinė daugumoje aplikacijų**, ir tinkamas jos pasirinkimas bei įdiegimas daro įtaką saugumui ir architektūrai, todėl tai vertinga žinoti.

Kiekvienas pagrindinių mechanizmų turi savo charakteristikas ir kompromisus. **Sesijomis pagrįsta autentifikacija** (serverio pusėje talpinamos sesijos su sesijos ID slapuku) suteikia serveriui kontrolę над sesijomis (lengva atšaukti), tačiau yra stateful (reikalinga bendra sesijų saugykla skalabilumui). **JWT (žetonais pagrįsta)** autentifikacija (pasirašyti savarankiški žetonai, patikrinami be serverio užklausos) yra **stateless** (lengvai mastelįama, gerai tinka API, SPA ir mobiliosioms aplikacijoms), tačiau turi svarbų kompromisą — **žetonai sunkiai atšaukiami iki baigimo** (kadangi jie yra savarankiški, reikalingas trumpas galiojimo laikas ir atnaujinimo žetonai) ir turi būti saugiai saugomi, kad neskaitomoje dalyje nebūtų slaptų kodų — šių JWT aspektų supratimas yra svarbus, nes JWT yra dažni, bet dažnai netinkamai naudojami. **OAuth 2.0 ir OpenID Connect** (deleguota autentifikacija — "Prisijungti su Google/GitHub") leidžia naudotojams autentifikuotis per patikimas trečias šalis nedelsdami jums dalyti slaptažodžius su jūsų aplikacija, tai standartas SSO ir socialinei prisijungimui.

Suvokti šiuos mechanizmus, kaip jie veikia ir jų **kompromisus** (sesijos stateful pobūdis ir lengvas atšaukimas vs JWT stateless pobūdis ir atšaukimo sunkumas; OAuth deleguotajai autentifikacijai) yra svarbu tinkamo metodo pasirinkimui (sesijos tradicinėms žiniatinklio aplikacijoms su serverio kontrole, JWT stateless API, OAuth deleguotajai/socialinei prisijungimui) ir saugiam jo įdiegimui.

Autentifikacija yra pagrindinė, ir jos teisingas nustatymas (tinkamas mechanizmas, saugus įdiegimas) yra kritinis saugumui.

Kadangi autentifikacija yra pagrindinė daugumoje aplikacijų ir mechanizmai (sesijos, JWT, OAuth) turi svarbius skirtumus bei kompromisus, turinčius įtaką saugumui ir architektūrai, ir kadangi jų supratimas yra būtinas norint teisingai įdiegti autentifikaciją, bendro autentifikacijos mechanizmų supratimas yra vertinga, praktiškai reikalinga saugumo žinija — svarbi pagrindinei autentifikacijos poreikiui, leidžianti priimti pagrįstus sprendimus dėl sesijų, JWT ir OAuth pasirinkimo bei jų saugaus įdiegimo, tai svarbi tema saugių aplikacijų su tinkama autentifikacija kūrimui.