Quais são os mecanismos de autenticação comuns (sessões, JWT, OAuth)?

Question

Accepted Answer

Aplicações modernas usam vários **mecanismos de autenticação** — baseados em sessão, baseados em token (JWT) e autenticação delegada (OAuth/OpenID Connect). Entender como cada um funciona e seus trade-offs é importante para implementar autenticação segura.

## Autenticação baseada em sessão

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Baseado em token (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Por que isso importa

Entender os mecanismos de autenticação comuns é importante porque **autenticação é fundamental para a maioria das aplicações**, e escolher e implementá-la corretamente afeta a segurança e a arquitetura, então é um conhecimento valioso.

Os principais mecanismos cada um têm características e trade-offs. **Autenticação baseada em sessão** (sessões no servidor com um cookie de session-ID) dá ao servidor controle sobre sessões (revogação fácil), mas é stateful (exigindo armazenamento de sessão compartilhado para escalar). **Autenticação JWT (baseada em token)** (tokens auto-contidos assinados verificados sem consulta ao servidor) é **stateless** (escalando facilmente, funcionando bem para APIs, SPAs e mobile), mas tem o trade-off notável de que **tokens são difíceis de revogar antes da expiração** (como são auto-contidos, exigindo expiração curta mais refresh tokens) e devem ser armazenados com segurança sem segredos no payload legível — entender essas considerações de JWT é importante já que JWTs são comuns mas frequentemente mal utilizados. **OAuth 2.0 e OpenID Connect** (autenticação delegada — "Entrar com Google/GitHub") permitem que usuários se autentiquem via terceiros confiáveis sem compartilhar senhas com seu app, o padrão para SSO e login social.

Entender esses mecanismos, como funcionam e seus **trade-offs** (statefulness de sessão e revogação fácil vs statelessness de JWT e dificuldade de revogação; OAuth para autenticação delegada) é importante para escolher a abordagem certa (sessões para apps web tradicionais com controle do servidor, JWT para APIs stateless, OAuth para login delegado/social) e implementá-la com segurança.

Autenticação é fundamental, e acertá-la (mecanismo correto, implementação segura) é crítico para a segurança.

Como autenticação é fundamental para a maioria das aplicações e os mecanismos (sessões, JWT, OAuth) têm diferenças importantes e trade-offs afetando segurança e arquitetura, e como entendê-los é necessário para implementar autenticação corretamente, entender mecanismos de autenticação comuns é um conhecimento de segurança valioso e praticamente relevante — importante para a necessidade fundamental de autenticação, permitindo escolhas sólidas entre sessões, JWT e OAuth e sua implementação segura, um tópico-chave para construir aplicações seguras com autenticação adequada.