กลไกการยืนยันตัวตนที่พบบ่อยมีอะไรบ้าง (sessions, JWT, OAuth)?

Question

Accepted Answer

แอปพลิเคชันสมัยใหม่ใช้ **กลไกการยืนยันตัวตน** ที่หลากหลาย ทั้งแบบ session-based แบบ token-based (JWT) และแบบ delegated authentication (OAuth/OpenID Connect) การเข้าใจว่าแต่ละแบบทำงานอย่างไรและข้อแลกเปลี่ยนของมันเป็นเรื่องสำคัญสำหรับการนำการยืนยันตัวตนที่ปลอดภัยมาใช้

## การยืนยันตัวตนแบบ session-based

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## แบบ token-based (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## ทำไมจึงสำคัญ

การเข้าใจกลไกการยืนยันตัวตนที่พบบ่อยเป็นเรื่องสำคัญ เพราะ **การยืนยันตัวตนเป็นพื้นฐานของแอปพลิเคชันส่วนใหญ่** และการเลือกและนำมาใช้อย่างถูกต้องส่งผลต่อความปลอดภัยและสถาปัตยกรรม จึงเป็นความรู้ที่มีคุณค่า

กลไกหลักแต่ละอย่างมีคุณลักษณะและข้อแลกเปลี่ยน **การยืนยันตัวตนแบบ session-based** (session ฝั่งเซิร์ฟเวอร์พร้อม cookie ที่มี session ID) ให้เซิร์ฟเวอร์ควบคุม session (เพิกถอนได้ง่าย) แต่เป็นแบบ stateful (ต้องการ session storage ที่ใช้ร่วมกันเพื่อขยายขนาด) **การยืนยันตัวตนแบบ JWT (token-based)** (token แบบ self-contained ที่ลงนามและตรวจสอบได้โดยไม่ต้อง lookup ที่เซิร์ฟเวอร์) เป็นแบบ **stateless** (ขยายขนาดได้ง่าย ทำงานได้ดีสำหรับ API, SPA และ mobile) แต่มีข้อแลกเปลี่ยนที่โดดเด่นคือ **token เพิกถอนได้ยากก่อนหมดอายุ** (เพราะมันเป็น self-contained ต้องใช้การหมดอายุสั้น ๆ บวกกับ refresh token) และต้องจัดเก็บอย่างปลอดภัยโดยไม่มี secret ใน payload ที่อ่านได้ การเข้าใจข้อพิจารณาเรื่อง JWT เหล่านี้เป็นเรื่องสำคัญ เพราะ JWT พบบ่อยแต่ก็ถูกใช้ผิดบ่อยเช่นกัน **OAuth 2.0 และ OpenID Connect** (delegated authentication "Log in with Google/GitHub") ทำให้ผู้ใช้ยืนยันตัวตนผ่านบุคคลที่สามที่เชื่อถือได้โดยไม่ต้องแชร์รหัสผ่านกับแอปของคุณ ซึ่งเป็นมาตรฐานสำหรับ SSO และ social login

การเข้าใจกลไกเหล่านี้ ว่าทำงานอย่างไร และ **ข้อแลกเปลี่ยน** ของมัน (ความเป็น stateful และการเพิกถอนได้ง่ายของ session เทียบกับความเป็น stateless และความยากในการเพิกถอนของ JWT; OAuth สำหรับ delegated auth) เป็นเรื่องสำคัญสำหรับการเลือกแนวทางที่เหมาะสม (session สำหรับเว็บแอปแบบดั้งเดิมที่ต้องการการควบคุมจากเซิร์ฟเวอร์ JWT สำหรับ API แบบ stateless OAuth สำหรับ delegated/social login) และการนำมาใช้อย่างปลอดภัย

การยืนยันตัวตนเป็นเรื่องพื้นฐาน และการทำให้ถูกต้อง (กลไกที่ถูกต้อง การนำมาใช้อย่างปลอดภัย) เป็นเรื่องสำคัญยิ่งต่อความปลอดภัย

เนื่องจากการยืนยันตัวตนเป็นพื้นฐานของแอปพลิเคชันส่วนใหญ่ และกลไกต่าง ๆ (sessions, JWT, OAuth) มีความแตกต่างและข้อแลกเปลี่ยนที่สำคัญซึ่งส่งผลต่อความปลอดภัยและสถาปัตยกรรม และเนื่องจากการเข้าใจมันจำเป็นสำหรับการนำการยืนยันตัวตนมาใช้อย่างถูกต้อง การเข้าใจกลไกการยืนยันตัวตนที่พบบ่อยจึงเป็นความรู้ด้านความปลอดภัยที่มีคุณค่าและเกี่ยวข้องในทางปฏิบัติ สำคัญต่อความต้องการพื้นฐานในการยืนยันตัวตน ช่วยให้เลือกได้อย่างเหมาะสมระหว่าง session, JWT และ OAuth และนำมาใช้อย่างปลอดภัย เป็นหัวข้อสำคัญสำหรับการสร้างแอปพลิเคชันที่ปลอดภัยพร้อมการยืนยันตัวตนที่เหมาะสม