X'inhu l-mekanizmi ta' awtentikazzjoni komuni (sessions, JWT, OAuth)?

Question

Accepted Answer

L-applikazzjonijiet moderni jużaw varji **mekanizmi ta' awtentikazzjoni** — session-based, token-based (JWT), u delegated authentication (OAuth/OpenID Connect). Huwa importanti li tifhem kif jaħdem kull wieħed, u t-trade-offs tagħhom, biex timplimenta awtentikazzjoni sigura.

## Session-based authentication

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Token-based (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Għaliex huwa importanti

L-għarfien tal-mekanizmi komuni ta' awtentikazzjoni huwa importanti għaliex **l-awtentikazzjoni hija fundamentali għall-ħafna applikazzjonijiet**, u l-għażla u l-implimentazzjoni korretta tagħha jaffettwaw is-sigurtà u l-arkitettura, għalhekk huwa għarfien valoriż.

Il-mekanizmi prinċipali għandhom kull wieħed karatteristiċi u trade-offs. **Session-based authentication** (server-side sessions bi session-ID cookie) tagħti lill-server kontroll fuq is-sessions (revocation faċli) iżda hija stateful (teħtieġ shared session storage biex tiskal). **JWT (token-based) authentication** (signed self-contained tokens verifikati mingħajr server lookup) hija **stateless** (tiskal faċilment, taħdem tajjeb għal APIs, SPAs, u mobile) iżda għandha t-trade-off notevoli li **tokens huma diffiċli li jiġu revoked qabel l-expiry** (billi huma self-contained, teħtieġ short expiry plus refresh tokens) u rridu jiġu maħżuna b'mod sigur mingħajr secrets fil-readable payload — l-għarfien ta' dawn il-konsiderazzjonijiet JWT huwa importanti peress li JWTs huma komuni imma ħafna drabi jintużaw ħamġa. **OAuth 2.0 u OpenID Connect** (delegated authentication — "Log in with Google/GitHub") jħalluli l-users jiawtentikaw permezz ta' trusted third parties mingħajr ma jqassmu passwords mal-app tiegħek, l-istandard għal SSO u social login.

L-għarfien ta' dawn il-mekanizmi, kif jaħdmu, u t-**trade-offs** tagħhom (session statefulness u easy revocation vs JWT statelessness u revocation difficulty; OAuth għal delegated auth) huwa importanti biex tagħżel l-approċċ t-tajjeb (sessions għal traditional web apps bi server control, JWT għal stateless APIs, OAuth għal delegated/social login) u timplimentaha b'mod sigur.

L-awtentikazzjoni hija fundamentali, u l-ħruġ bir-raġuni (mekanizmu korrett, implimentazzjoni sigura) huwa kritiku għas-sigurtà.

Billi l-awtentikazzjoni hija fundamentali għall-ħafna applikazzjonijiet u l-mekanizmi (sessions, JWT, OAuth) għandhom differenzi importanti u trade-offs li jaffettwaw is-sigurtà u l-arkitettura, u billi l-għarfien tagħhom huwa meħtieġ biex timplimenta l-awtentikazzjoni korrezzjoni, l-għarfien ta' mekanizmi komuni ta' awtentikazzjoni huwa valoriż, praktiċi-relevantu għarfien ta' sigurtà — importanti għall-ħtieġa fundamentali ta' awtentikazzjoni, li tagħmel pussibli għażliet tajba fost sessions, JWT, u OAuth u l-implimentazzjoni sigura tagħhom, suġġett ewleniku biex tinbena applikazzjonijiet siguri b'awtentikazzjoni xierqa.