Saya telah membaca tentang otentikasi dan menjadi bingung tentang klasifikasi jenis.
Mari kita mulai dari otentikasi berbasis Cookie, Jika saya memahaminya dengan benar, kuncinya adalah bahwa semua data, yang diperlukan untuk otentikasi pengguna, disimpan dalam cookie. Dan ini adalah kebingungan pertama saya: di cookie kami dapat menyimpan
- sesi id dan jadi itu menjadi otentikasi berbasis Sesi?
- klaim, dan haruskah itu disebut sebagai otentikasi berbasis Klaim?
- Saya telah menemukan bahwa beberapa orang bahkan menyimpan token JWT dalam cookie, tetapi ini tampaknya seperti implementasi kustom dari auth flow sendiri ...
Sekarang mari kita beralih ke otentikasi berbasis Klaim. Elemen utamanya adalah klaim dan koleksi klaim bisa digunakan sebagai wadah
- cookie (seperti dibahas di atas)
- token (JWT sebagai contoh).
Dari sisi lain, ketika kita berbicara tentang token, mungkin berisi segala jenis informasi ... Session Id misalnya ...
Jadi apa yang telah saya lewatkan? Mengapa orang tidak mendefinisikan sesuatu seperti Cookie-Session-based
atau Token-Claims-based
otentikasi ketika berbicara tentang tipe otentikasi?
sumber
Sederhananya,
Otentikasi Berbasis Cookie
google.com
dan mengirimkannya ke klien-web.mail.google.com
, ia akan mengirim semua cookie berdasarkan domainnya (mis .:)google.com
ke server-web, yang memvalidasi / memverifikasi dan memberikan / menolak akses berdasarkan status dan stempel waktu dari cookie.Otentikasi Berbasis Sesi
Otentikasi Berbasis Token
Otentikasi Berbasis Klaim
sumber