Apakah mekanisme pengesahan yang biasa (sessions, JWT, OAuth)?

Question

Accepted Answer

Aplikasi moden menggunakan pelbagai **mekanisme pengesahan** — berasaskan sesi, berasaskan token (JWT), dan pengesahan diwakilkan (OAuth/OpenID Connect). Memahami cara setiap satunya berfungsi, dan pertukar-gantinya, adalah penting untuk melaksanakan pengesahan yang selamat.

## Pengesahan berasaskan sesi

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Berasaskan token (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Mengapa ia penting

Memahami mekanisme pengesahan yang biasa adalah penting kerana **pengesahan adalah asas kepada kebanyakan aplikasi**, dan memilih serta melaksanakannya dengan betul mempengaruhi keselamatan dan seni bina, jadi ia adalah pengetahuan yang bernilai.

Mekanisme utama masing-masing mempunyai ciri dan pertukar-ganti. **Pengesahan berasaskan sesi** (sesi sisi pelayan dengan kuki session-ID) memberi pelayan kawalan ke atas sesi (mudah dibatalkan) tetapi adalah stateful (memerlukan storan sesi dikongsi untuk berskala). Pengesahan **JWT (berasaskan token)** (token kandungan-sendiri yang ditandatangani dan disahkan tanpa carian pelayan) adalah **stateless** (berskala dengan mudah, berfungsi dengan baik untuk API, SPA, dan mudah alih) tetapi mempunyai pertukar-ganti yang ketara bahawa **token sukar dibatalkan sebelum tamat tempoh** (kerana ia kandungan-sendiri, memerlukan tamat tempoh pendek serta refresh token) dan mesti disimpan dengan selamat tanpa rahsia dalam muatan yang boleh dibaca — memahami pertimbangan JWT ini adalah penting kerana JWT adalah biasa tetapi kerap disalahgunakan. **OAuth 2.0 dan OpenID Connect** (pengesahan diwakilkan — "Log in with Google/GitHub") membenarkan pengguna disahkan melalui pihak ketiga yang dipercayai tanpa berkongsi kata laluan dengan aplikasi anda, standard untuk SSO dan log masuk sosial.

Memahami mekanisme ini, cara ia berfungsi, dan **pertukar-gantinya** (statefulness sesi dan pembatalan mudah berbanding statelessness JWT dan kesukaran pembatalan; OAuth untuk pengesahan diwakilkan) adalah penting untuk memilih pendekatan yang betul (sesi untuk aplikasi web tradisional dengan kawalan pelayan, JWT untuk API stateless, OAuth untuk log masuk diwakilkan/sosial) dan melaksanakannya dengan selamat.

Pengesahan adalah asas, dan melakukannya dengan betul (mekanisme yang betul, pelaksanaan yang selamat) adalah kritikal untuk keselamatan.

Memandangkan pengesahan adalah asas kepada kebanyakan aplikasi dan mekanisme (sesi, JWT, OAuth) mempunyai perbezaan dan pertukar-ganti penting yang mempengaruhi keselamatan dan seni bina, dan memandangkan memahaminya adalah perlu untuk melaksanakan pengesahan dengan betul, memahami mekanisme pengesahan yang biasa ialah pengetahuan keselamatan yang bernilai dan relevan secara praktikal — penting untuk keperluan asas pengesahan, membolehkan pilihan yang baik antara sesi, JWT, dan OAuth serta pelaksanaannya yang selamat, topik utama untuk membina aplikasi selamat dengan pengesahan yang betul.