Yaygın kimlik doğrulama mekanizmaları nelerdir (oturumlar, JWT, OAuth)?

Question

Accepted Answer

Modern uygulamalar çeşitli **kimlik doğrulama mekanizmaları** kullanır — oturum tabanlı, token tabanlı (JWT) ve devredilmiş kimlik doğrulama (OAuth/OpenID Connect). Her birinin nasıl çalıştığını ve aralarındaki değiş tokuşları anlamak, güvenli kimlik doğrulamayı uygulamak için önemlidir.

## Oturum tabanlı kimlik doğrulama

```text
SESSION-based (traditional):
  → user logs in → server creates a SESSION (stored server-side) → sends a session ID
    cookie → the browser sends it with each request → server looks up the session
  ✓ server controls sessions (easy to revoke); simple; cookie auto-sent
  ✗ stateful (server stores sessions); scaling needs shared session storage
```

## Token tabanlı (JWT)

```text
JWT (JSON Web Token):
  → user logs in → server issues a SIGNED token containing claims (user id, etc.) →
    client stores it → sends it (usually in an Authorization header) per request →
    server VERIFIES the SIGNATURE (no server-side lookup needed)
  ✓ STATELESS (scales easily; no session store); works well for APIs/SPAs/mobile
  ✗ hard to REVOKE before expiry (it's self-contained) → use short expiry + refresh tokens
  ⚠️ store securely; don't put secrets in the (readable) payload; validate properly
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → DELEGATED AUTHORIZATION ("Log in with Google/GitHub"):
  → let users authenticate via a third party without sharing their password with your app
  → your app gets a token to access permitted resources (scoped)
OPENID CONNECT (on top of OAuth) → adds AUTHENTICATION (identity) → standard for SSO/
  social login
→ delegate auth to trusted providers; users don't create another password.
```

## Neden önemli

Yaygın kimlik doğrulama mekanizmalarını anlamak önemlidir çünkü **kimlik doğrulama çoğu uygulamanın temelini oluşturur** ve bunu doğru seçmek ve uygulamak güvenlik ve mimariyi etkiler, bu nedenle değerli bilgidir.

Ana mekanizmaların her birinin karakteristikleri ve değiş tokuşları vardır. **Oturum tabanlı kimlik doğrulama** (sunucu tarafı oturumları ve oturum-ID çerezi ile) sunucuya oturumlar üzerinde kontrol verir (kolay iptal) ancak durum taşır (ölçeklendirmek için paylaşılan oturum depolaması gerektirir). **JWT (token tabanlı)** kimlik doğrulama (imzalı kendi içinde yeterli tokenler sunucu araması olmadan doğrulanır) **stateless**'tir (kolayca ölçeklenebilir, API'ler, SPA'lar ve mobil için iyi çalışır) ancak dikkate değer bir değiş tokuş vardır: **tokenları süresi dolmadan iptal etmek zordur** (kendi içinde yeterli olduğu için, kısa süre sonu artı yenileme tokenları gerektirir) ve okunabilir yüktede gizli olmamak için güvenli şekilde depolanmalıdır — JWT'ler yaygın ancak sık yanlış kullanıldığı için bu JWT hususlarını anlamak önemlidir. **OAuth 2.0 ve OpenID Connect** (devredilmiş kimlik doğrulama — "Google/GitHub ile giriş yap") kullanıcıların uygulamanızla parolaları paylaşmadan güvenilir üçüncü taraflar aracılığıyla kimlik doğrulaması yapmasını sağlar, SSO ve sosyal giriş için standarttır.

Bu mekanizmaları, nasıl çalıştıklarını ve **değiş tokuşlarını** (oturum durum taşıması ve kolay iptal vs JWT statelessness ve iptal zorluğu; devredilmiş auth için OAuth) anlamak, doğru yaklaşımı seçmek (sunucu kontrolü için oturumlar, stateless API'ler için JWT, devredilmiş/sosyal giriş için OAuth) ve güvenli şekilde uygulamak için önemlidir.

Kimlik doğrulama temeldir ve bunu doğru yapmak (doğru mekanizma, güvenli uygulama) güvenlik için kritiktir.

Kimlik doğrulama çoğu uygulamanın temelini oluşturduğu ve mekanizmaların (oturumlar, JWT, OAuth) güvenlik ve mimariyi etkileyen önemli farklılıkları ve değiş tokuşları olduğu için ve kimlik doğrulamayı doğru uygulamak için onları anlamanın gerekli olduğu için, yaygın kimlik doğrulama mekanizmalarını anlamak değerli, pratik açıdan ilgili güvenlik bilgisidir — kimlik doğrulamanın temel ihtiyacı için önemlidir, oturumlar, JWT ve OAuth arasında sağlam seçimler yapılmasını ve güvenli uygulamalarını sağlar, güvenli uygulamalar oluşturmak için kilit bir konudur.