Care sunt mecanismele comune de autentificare (sesiuni, JWT, OAuth)?

Question

Accepted Answer

Aplicațiile moderne utilizează diverse **mecanisme de autentificare** — autentificare bazată pe sesiuni, bazată pe token-uri (JWT) și autentificare delegată (OAuth/OpenID Connect). Înțelegerea modului în care funcționează fiecare și compromisurile acestora este importantă pentru implementarea unei autentificări sigure.

## Autentificare bazată pe sesiuni

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Bazată pe token-uri (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## De ce este important

Înțelegerea mecanismelor comune de autentificare este importantă deoarece **autentificarea este fundamentală pentru majoritatea aplicațiilor**, și alegerea și implementarea corectă a acesteia afectează securitatea și arhitectura, deci este cunoaștere valoroasă.

Mecanismele principale au fiecare caracteristici și compromisuri. **Autentificarea bazată pe sesiuni** (sesiuni pe server cu cookie de ID sesiune) oferă serverului control asupra sesiunilor (revocare ușoară) dar este stateful (necesită stocare partajată a sesiunilor pentru scalabilitate). **Autentificarea JWT (bazată pe token-uri)** (token-uri semnate auto-conținute verificate fără accesare la server) este **stateless** (scalare ușoară, funcționează bine pentru API-uri, SPA-uri și dispozitive mobile) dar are compromisul notabil că **token-urile sunt greu de revocat înainte de expirare** (din moment ce sunt auto-conținute, necesitând expirare scurtă plus token-uri de reînnoire) și trebuie stocate în siguranță fără secrete în payload-ul citibil — înțelegerea acestor considerații JWT este importantă deoarece JWT-urile sunt comune dar adesea folosite greșit. **OAuth 2.0 și OpenID Connect** (autentificare delegată — "Conectează-te cu Google/GitHub") permit utilizatorilor să se autentifice prin terți de încredere fără a partaja parole cu aplicația dvs., standardul pentru SSO și social login.

Înțelegerea acestor mecanisme, a modului în care funcționează și a **compromisurilor** acestora (statefulness-ul sesiunilor și revocare ușoară vs statefulness-ul JWT și dificultatea revocării; OAuth pentru autentificare delegată) este importantă pentru alegerea abordării corecte (sesiuni pentru aplicații web tradiționale cu control de server, JWT pentru API-uri stateless, OAuth pentru autentificare delegată/social login) și implementarea acesteia în siguranță.

Autentificarea este fundamentală, și realizarea corectă a acesteia (mecanism corect, implementare securizată) este critică pentru securitate.

Din moment ce autentificarea este fundamentală pentru majoritatea aplicațiilor și mecanismele (sesiuni, JWT, OAuth) au diferențe importante și compromisuri care afectează securitatea și arhitectura, și din moment ce înțelegerea lor este necesară pentru implementarea corectă a autentificării, înțelegerea mecanismelor comune de autentificare este cunoaștere de securitate valoroasă și practic relevantă — importantă pentru necesitatea fundamentală a autentificării, permițând alegeri sigure între sesiuni, JWT și OAuth și implementarea securizată a acestora, un subiect cheie pentru construirea de aplicații sigure cu autentificare corespunzătoare.