सामान्य प्रमाणीकरण संयन्त्रहरू (sessions, JWT, OAuth) के हुन्?

Question

Accepted Answer

आधुनिक अनुप्रयोगहरूले विभिन्न **प्रमाणीकरण संयन्त्रहरू** प्रयोग गर्छन् — session-आधारित, token-आधारित (JWT), र प्रतिनिधित्व प्रमाणीकरण (OAuth/OpenID Connect)। प्रत्येकले कसरी काम गर्छ र तिनीहरूको ट्रेड-अफहरू बुझ्नु सुरक्षित प्रमाणीकरण लागू गर्नको लागि महत्त्वपूर्ण छ।

## Session-आधारित प्रमाणीकरण

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Token-आधारित (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## यो किन महत्त्वपूर्ण छ

सामान्य प्रमाणीकरण संयन्त्रहरू बुझ्नु महत्त्वपूर्ण छ किनभने **प्रमाणीकरण अधिकांश अनुप्रयोगहरूको लागि मौलिक छ**, र यसलाई सही ढंगले छनौट र लागू गर्नु सुरक्षा र आर्किटेक्चरलाई असर गर्छ, यसैले यो मूल्यवान ज्ञान हो।

मुख्य संयन्त्रहरूको प्रत्येकमा विशेषताहरू र ट्रेड-अफहरू छन्। **Session-आधारित प्रमाणीकरण** (server-पक्षीय sessions एक session-ID cookie सँग) सर्भरलाई sessions मा नियन्त्रण दिन्छ (सजिलो revocation) तर यो stateful छ (scale गर्न साझा session storage चाहिन्छ)। **JWT (token-आधारित)** प्रमाणीकरण (हस्ताक्षरित स्व-निहित tokens server lookup बिना सत्यापित) **stateless** छ (सजिलो ढंगले scale गर्छ, APIs, SPAs, र मोबाइलको लागि राम्रो काम गर्छ) तर उल्लेखनीय ट्रेड-अफ छ कि **tokens expiry अघि revoke गर्न गाह्रो छ** (किनभने तिनीहरू स्व-निहित छन्, छोटो expiry प्लस refresh tokens चाहिन्छ) र तिनीहरू सुरक्षित ढंगले पढ्न सकिने payload मा कुनै गोपनीयतासहित भण्डारण गरिनु पर्छ — यी JWT विचारहरू बुझ्नु महत्त्वपूर्ण छ किनभने JWTs सामान्य छ तर सामान्य रूपमा गलत प्रयोग हुन्छ। **OAuth 2.0 र OpenID Connect** (प्रतिनिधित्व प्रमाणीकरण — "Google/GitHub सँग लग इन गर्नुहोस्") प्रयोगकर्ताहरूलाई विश्वस्त तीन-पक्षहरूको माध्यमबाट प्रमाणीकरण गर्न दिन्छ तपाइँको अनुप्रयोगसँग पासवर्ड साझा गरी, SSO र social login को मानक।

यी संयन्त्रहरू, तिनीहरू कसरी काम गर्छन्, र तिनीहरूको **ट्रेड-अफहरू** (session statefulness र सजिलो revocation बनाम JWT statelessness र revocation कठिनता; प्रतिनिधित्व प्रमाणीकरणको लागि OAuth) बुझ्नु सही दृष्टिकोण छनौट गर्नको लागि महत्त्वपूर्ण छ (server नियन्त्रणको लागि traditional web apps को लागि sessions, stateless APIs को लागि JWT, प्रतिनिधित्व/social login को लागि OAuth) र यसलाई सुरक्षित ढंगले लागू गर्न।

प्रमाणीकरण मौलिक छ, र यसलाई सही ढंगले गर्नु (सही संयन्त्र, सुरक्षित कार्यान्वयन) सुरक्षाको लागि महत्त्वपूर्ण छ।

प्रमाणीकरण अधिकांश अनुप्रयोगहरूको लागि मौलिक छ र संयन्त्रहरू (sessions, JWT, OAuth) मा महत्त्वपूर्ण अन्तरहरू र सुरक्षा तथा आर्किटेक्चरलाई असर गर्ने ट्रेड-अफहरू छन्, र तिनीहरूलाई बुझ्नु प्रमाणीकरण सही ढंगले लागू गर्नको लागि आवश्यक छ, सामान्य प्रमाणीकरण संयन्त्रहरू बुझ्नु मूल्यवान, व्यावहारिक-सम्बन्धित सुरक्षा ज्ञान छ — प्रमाणीकरणको मौलिक आवश्यकताको लागि महत्त्वपूर्ण, sessions, JWT, र OAuth को बीचमा ध्वनिपूर्ण विकल्प र तिनीहरूको सुरक्षित कार्यान्वयन सक्षम गर्दै, सुरक्षित अनुप्रयोगहरू निर्माण गर्नको लागि एक मुख्य विषय जसमा उचित प्रमाणीकरण छ।