సాధారణ ప్రామాణీకరణ యంత్రాంగాలు (సెషన్‌లు, JWT, OAuth) ఏవి?

Question

Accepted Answer

ఆధునిక అప్లికేషన్‌లు వివిధ **ప్రామాణీకరణ యంత్రాంగాలను** ఉపయోగిస్తాయి — సెషన్-ఆధారిత, టోకెన్-ఆధారిత (JWT), మరియు위임ించిన ప్రామాణీకరణ (OAuth/OpenID Connect). ప్రతిটి ఎలా పనిచేస్తుందో మరియు వాటి ట్రేడ్-ఆఫ్‌లను అర్థం చేసుకోవడం సురక్షితమైన ప్రామాణీకరణను అమలు చేయడానికి ముఖ్యమైనది.

## సెషన్-ఆధారిత ప్రామాణీకరణ

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## టోకెన్-ఆధారిత (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## ఇది ఎందుకు ముఖ్యమైనది

సాధారణ ప్రామాణీకరణ యంత్రాంగాలను అర్థం చేసుకోవడం ముఖ్యమైనది ఎందుకంటే **ప్రామాణీకరణ చాలా అప్లికేషన్‌లకు ప్రాథమికమైనది**, మరియు దానిని సరిగ్గా ఎంచుకోవడం మరియు అమలు చేయడం సురక్షత మరియు ఆర్కిటెక్చర్‌ను ప్రభావితం చేస్తుంది, కాబట్టి ఇది విలువైన జ్ఞానం.

ప్రధాన యంత్రాంగాలలో ప్రతిదానికీ లక్షణాలు మరియు ట్రేడ్-ఆఫ్‌లు ఉన్నాయి. **సెషన్-ఆధారిత ప్రామాణీకరణ** (సెషన్-ID కుకీ ఉన్న సర్వర్-సైడ్ సెషన్‌లు) సర్వర్‌కు సెషన్‌ల నిపుణత ఇస్తుంది (సులభమైన రద్దు) కానీ స్టేట్‌ఫుల్ (స్కేల్ చేయడానికి షేర్డ్ సెషన్ స్టోరేజ్ అవసరం). **JWT (టోకెన్-ఆధారిత)** ప్రామాణీకరణ (సర్వర్ లుకప్ లేకుండా ధృవీకరించిన సంతకం చేసిన స్వీయ-నిర్ధారణ టోకెన్‌లు) **స్టేట్‌లెస్** (సులభంగా స్కేల్ చేయడం, APIs, SPAs, మరియు మొబైల్‌కు బాగా పనిచేయడం) కానీ ముఖ్యమైన ట్రేడ్-ఆఫ్ ఉంది **టోకెన్‌లను ఎక్సపిరీ కముందు రద్దు చేయడం కష్టం** (అవి స్వీయ-నిర్ధారణ కాబట్టి, చిన్న ఎక్సపిరీ ప్లస్ రిఫ్రెష్ టోకెన్‌ల అవసరం) మరియు చదవగలిగే పేలోడ్‌లో సీక్రెట్‌లు లేకుండా సురక్షితంగా నిల్వ చేయవలసి ఉంటుంది — ఈ JWT విचారణలను అర్థం చేసుకోవడం ముఖ్యమైనది ఎందుకంటే JWTలు సాధారణ కానీ తరచుగా తప్పుగా ఉపయోగించబడతాయి. **OAuth 2.0 మరియు OpenID Connect** (위임చేసిన ప్రామాణీకరణ — "Google/GitHub ద్వారా లాగిన్") వినియోగదారులను నమ్మకమైన థర్డ్ పార్టీల ద్వారా ప్రామాణీకరించుకోవడానికి అనుమతిస్తుంది మీ అప్లికేషన్‌కు పాస్‌వర్డ్‌లను భాగస్వామ్యం చేయకుండా, SSO మరియు సోషల్ లాగిన్‌కు ప్రామాణికం.

ఈ యంత్రాంగాలను, అవి ఎలా పనిచేస్తాయో, మరియు వాటి **ట్రేడ్-ఆఫ్‌లను** (సెషన్ స్టేట్‌ఫుల్‌నెస్ మరియు సులభమైన రద్దు వర్సెస్ JWT స్టేట్‌లెస్‌నెస్ మరియు రద్దు కష్టం;위임ప్రామాణీకరణ కోసం OAuth) అర్థం చేసుకోవడం సరైన విధానం (సర్వర్ నియంత్రణ కోసం సెషన్‌లు, స్టేట్‌లెస్ APIsకు JWT,위임/సోషల్ లాగిన్‌కు OAuth) ఎంచుకోవడానికి మరియు దానిని సురక్షితంగా అమలు చేయడానికి ముఖ్యమైనది.

ప్రామాణీకరణ ప్రాథమికమైనది, మరియు దానిని సరిగ్గా చేయడం (సరైన యంత్రాంగం, సురక్షిత అమలు) సురక్షత కోసం విమర్శనీయమైనది.

ప్రామాణీకరణ చాలా అప్లికేషన్‌లకు ప్రాథమికమైనది మరియు యంత్రాంగాలు (సెషన్‌లు, JWT, OAuth) సురక్షత మరియు ఆర్కిటెక్చర్‌ను ప్రభావితం చేసే ముఖ్యమైన వ్యత్యాసాలు మరియు ట్రేడ్-ఆఫ్‌లను కలిగి ఉన్నాయి, మరియు ప్రామాణీకరణను సరిగ్గా అమలు చేయడానికి వాటిని అర్థం చేసుకోవడం అవసరమైనందున, సాధారణ ప్రామాణీకరణ యంత్రాంగాలను అర్థం చేసుకోవడం విలువైన, ఆచరణాత్మకంగా సంబంధితమైన సురక్షత జ్ఞానం — ప్రామాణీకరణ యొక్క ప్రాథమిక అవసరం కోసం ముఖ్యమైనది, సెషన్‌లు, JWT, మరియు OAuth లలో సంపన్న ఎంపికలను ఉపయోగ చేయడం మరియు వాటి సురక్షిత అమలు, సురక్షితమైన ప్రామాణీకరణ ఉన్న అనువర్తనాలను నిర్మించడానికి ఒక ముఖ్య విషయం.