Hva er vanlige autentiseringsmekanismer (sesjoner, JWT, OAuth)?

Question

Accepted Answer

Moderne applikasjoner bruker ulike **autentiseringsmekanismer** — sesjonbasert, tokenbasert (JWT), og delegert autentisering (OAuth/OpenID Connect). Å forstå hvordan hver fungerer, og deres avveininger, er viktig for å implementere sikker autentisering.

## Sesjonbasert autentisering

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Tokenbasert (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Hvorfor det er viktig

Å forstå vanlige autentiseringsmekanismer er viktig fordi **autentisering er fundamental for de fleste applikasjoner**, og valg og implementering av det påvirker sikkerhet og arkitektur, så det er verdifull kunnskap.

Hovedmekanismene har hver sine karakteristikker og avveininger. **Sesjonbasert autentisering** (sesjoner på serversiden med en sesjon-ID cookie) gir serveren kontroll over sesjoner (enkel tilbakekalling) men er stateful (krever delt sesjonslagring for skalering). **JWT (tokenbasert)** autentisering (signerte selvinneholdte tokens verifisert uten serveroppslag) er **stateless** (skaleres enkelt, fungerer godt for API-er, SPA-er og mobil) men har den merkbare avveiningen at **tokens er vanskelige å tilbakekalle før utløp** (siden de er selvinneholdte, krever kort utløpstid pluss refresh tokens) og må lagres sikkert uten hemmeligheter i den lesbare payloaden — å forstå disse JWT-betraktningene er viktig siden JWT-er er vanlige men ofte feilbrukt. **OAuth 2.0 og OpenID Connect** (delegert autentisering — "Logg inn med Google/GitHub") lar brukere autentisere seg via pålitelige tredjeparter uten å dele passord med appen din, standarden for SSO og sosial innlogging.

Å forstå disse mekanismene, hvordan de fungerer, og deres **avveininger** (sesjon statefulness og enkel tilbakekalling vs JWT statefulness og tilbakekalling vanskelighet; OAuth for delegert autentisering) er viktig for å velge riktig tilnærming (sesjoner for tradisjonelle webapper med serverkontroll, JWT for stateless API-er, OAuth for delegert/sosial innlogging) og implementere det sikkert.

Autentisering er fundamental, og å få det riktig (riktig mekanisme, sikker implementering) er kritisk for sikkerhet.

Siden autentisering er fundamental for de fleste applikasjoner og mekanismene (sesjoner, JWT, OAuth) har viktige forskjeller og avveininger som påvirker sikkerhet og arkitektur, og siden å forstå dem er nødvendig for å implementere autentisering korrekt, er forståelse av vanlige autentiseringsmekanismer verdifull, praktisk relevant sikkerhetskunskap — viktig for det fundamentale behovet for autentisering, enabling lykkede valg mellom sesjoner, JWT, og OAuth og deres sikre implementering, et nøkkeltema for å bygge sikre applikasjoner med korrekt autentisering.