Katere so običajne mehanizme avtentifikacije (seje, JWT, OAuth)?

Question

Accepted Answer

Sodobne aplikacije uporabljajo različne **mehanizme avtentifikacije** — avtentifikacija na podlagi sej, avtentifikacija na osnovi žetonov (JWT) in delegirana avtentifikacija (OAuth/OpenID Connect). Razumevanje, kako deluje vsak od njih, in njihovi kompromisi so pomembni za implementacijo varne avtentifikacije.

## Avtentifikacija na podlagi sej

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Avtentifikacija na osnovi žetonov (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Zakaj je to pomembno

Razumevanje običajnih mehanizmov avtentifikacije je pomembno, ker je **avtentifikacija temeljna za večino aplikacij**, in izbira ter pravilna implementacija vplivata na varnost in arhitekturo, zato je to dragoceno znanje.

Hlavni mehanizmi imajo vsak svoje značilnosti in kompromise. **Avtentifikacija na podlagi sej** (sejami upravlja strežnik s piškotkom ID seje) omogoča strežniku nadzor nad sejami (enostavno preklicevanje), vendar je s stanjem (zahteva skupno shrambo sej za skaliranje). **JWT (avtentifikacija na osnovi žetonov)** (podpisani samozadostni žetoni, preverjeni brez iskanja na strežniku) je **brez stanja** (enostavno se skalira, dobro deluje za API-je, SPA-je in mobilne aplikacije), vendar ima pomemben kompromis, da je **žetone težko preklicati pred potekom roka veljavnosti** (ker so samozadostni, zahtevajo kratek rok veljavnosti in žetone za osvežitev) in morajo biti shranjeni varno brez skrivnosti v berljivem tovarišu — razumevanje teh obzirnosti JWT je pomembno, ker so JWT-ji pogosti, vendar se jih pogosto zlorabi. **OAuth 2.0 in OpenID Connect** (delegirana avtentifikacija — "Prijava z Google/GitHub") omogočajo uporabnikom avtentifikacijo prek zaupanja vrednih tretjih strank brez deljenja gesel z vašo aplikacijo, standard za SSO in socialno prijavo.

Razumevanje teh mehanizmov, kako delujejo, in njihovih **kompromiov** (stanje sej in enostavno preklicevanje v primerjavi s stanjem JWT in težavam s preklicevanjem; OAuth za delegirano avtentifikacijo) je pomembno za izbiro pravega pristopa (seje za tradicionalne spletne aplikacije s kontrolo strežnika, JWT za aplikacije brez stanja, OAuth za delegirano/socialno prijavo) in varno implementacijo.

Avtentifikacija je temeljna, in pravilno izvajanje (pravilen mehanizem, varna implementacija) je kritično za varnost.

Ker je avtentifikacija temeljna za večino aplikacij in imajo mehanizmi (seje, JWT, OAuth) pomembne razlike in kompromise, ki vplivajo na varnost in arhitekturo, in ker je razumevanje nanje potrebno za pravilno implementacijo avtentifikacije, je razumevanje običajnih mehanizmov avtentifikacije dragoceno, praktično relevantno varnostno znanje — pomembno za temeljno potrebo avtentifikacije, omogočanje premišljenih izbir med sejami, JWT in OAuth ter njihovo varno implementacijo, ključna tema za gradnjo varnih aplikacij s pravilno avtentifikacijo.