பொதுவான அங்கीகாரமுறைகள் (sessions, JWT, OAuth) என்ன?

Question

Accepted Answer

நவீன பயன்பாடுகள் பல்வேறு **அங்கீகாரமுறைகளைப்** பயன்படுத்துகின்றன — session-அடிப்படையான, token-அடிப்படையான (JWT), மற்றும் பிரதिनिधि அங்கீகாரம் (OAuth/OpenID Connect). ஒவ்வொன்றும் எவ்வாறு செயல்படுகிறது என்பதைப் புரிந்துகொள்ளுதல் மற்றும் அவற்றின் வர்த்தக-நன்கொடைகளைப் புரிந்துகொள்ளுதல் பாதுகாப்பான அங்கீகாரத்தை செயல்படுத்துவதற்கு முக்கியமாகும்.

## Session-அடிப்படையான அங்கீகாரம்

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Token-அடிப்படையான (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## ஏன் இது முக்கியமாகும்

பொதுவான அங்கீகாரமுறைகளைப் புரிந்துகொள்ளுதல் முக்கியமாகும் ஏனெனில் **அங்கீகாரம் பெரும்பாலான பயன்பாடுகளுக்குப் அடிப்படையாகும்**, மேலும் சரியாகத் தேர்வுசெய்து செயல்படுத்துவது பாதுகாப்பு மற்றும் வாস்துவியலை பாதிக்கிறது, எனவே இது மূল்யவான அறிவாகும்.

ப்रमुख mechanisms ஒவ்வொன்றிற்கும் பண்புகள் மற்றும் வர்த்தக-நன்கொடைகள் உள்ளன. **Session-அடிப்படையான அங்கீகாரம்** (சேவையகப்பக்க sessions கொண்ட session-ID cookie உடன்) sessions மீது சேவையகத்திற்கு கட்டுப்பாடு வழங்குகிறது (எளிய பிரதिनिधि நீக்கம்) ஆனால் நிலையான (பெதிறப்பு session சேமிப்பை ஸ்केல் செய்ய தேவை). **JWT (token-அடிப்படையான)** அங்கீகாரம் (signed self-contained tokens சேவையக தேடல் இல்லாமல் சரிபார்க்கப்பட்ட) **stateless** (ஸ்கேலிங் எளிமையாக, APIs, SPAs, மற்றும் mobile க்கு நன்றாக செயல்படுகிறது) ஆனால் குறிப்பிடத்தக்க வர்த்தக-நன்கொடை உள்ளது **tokens expiry முன்னர் பிரதिनिधि நீக்குவது கடினம்** (அவை self-contained ஆகியுள்ளதால், குறுகிய expiry மற்றும் refresh tokens தேவை) மற்றும் பாதுகாப்பாக சேமிக்கப்பட வேண்டும் readable payload இல் secrets இல்லாமல் — இந்த JWT கருத்தாய்வுகளைப் புரிந்துகொள்ளுதல் முக்கியமாகும் ஏனெனில் JWTs பொதுவானவை ஆனால் பொதுவாக தவறாகப் பயன்படுத்தப்படுகின்றன. **OAuth 2.0 மற்றும் OpenID Connect** (பிரதிநிधி அங்கீகாரம் —