Czytałem o uwierzytelnieniach i mylę się co do klasyfikacji typów.
Zacznijmy od uwierzytelniania opartego na plikach cookie. Jeśli dobrze to rozumiem, najważniejsze jest to, że wszystkie dane potrzebne do uwierzytelnienia użytkownika są przechowywane w plikach cookie. I to jest moje pierwsze zamieszanie: w ciasteczkach możemy przechowywać
- identyfikator sesji, a więc staje się uwierzytelnieniem opartym na sesji?
- roszczenia, a więc czy powinno się to nazywać uwierzytelnianiem opartym na roszczeniach?
- Odkryłem, że niektóre osoby przechowują nawet token JWT w plikach cookie, ale wydaje się to niestandardową implementacją własnego przepływu uwierzytelniania ...
Teraz przejdźmy do uwierzytelniania opartego na oświadczeniach. Głównym elementem jest roszczenie, a zbiór roszczeń można wykorzystać jako kontener
- pliki cookie (jak omówiono powyżej)
- token (JWT jako przykład).
Z drugiej strony, gdy mówimy o tokenie, może on zawierać dowolne informacje ... na przykład identyfikator sesji ...
Więc co przegapiłem? Dlaczego ludzie nie definiują czegoś podobnego Cookie-Session-based
lub Token-Claims-based
uwierzytelnienia, mówiąc o typach uwierzytelnień?
źródło
Po prostu,
Uwierzytelnianie na podstawie plików cookie
google.com
:) i przesyłane do klienta WWW.mail.google.com
:), wysyła wszystkie pliki cookie na podstawie swojej domeny (np .google.com
:) do serwera WWW, który sprawdza / weryfikuje i udziela / odmawia dostępu na podstawie stanu i znacznika czasu ciastko.Uwierzytelnianie na podstawie sesji
Uwierzytelnianie oparte na tokenach
Uwierzytelnianie na podstawie oświadczeń
źródło