Я читал об аутентификациях и запутался в классификации типов.
Начнем с проверки подлинности на основе файлов cookie. Если я правильно понимаю, ключевой момент заключается в том, что все данные, необходимые для проверки подлинности пользователя, хранятся в файлах cookie. И это моя первая путаница: в куки мы можем хранить
- идентификатор сеанса, и поэтому он становится аутентификацией на основе сеанса?
- утверждений, и поэтому его следует называть проверкой подлинности на основе утверждений?
- Я обнаружил, что некоторые люди даже хранят токен JWT в cookie, но это похоже на собственную реализацию собственного потока аутентификации ...
Теперь давайте перейдем к аутентификации на основе утверждений. Основным элементом является претензия, а сбор претензий можно использовать в качестве контейнера
- куки (как обсуждено выше)
- токен (JWT в качестве примера).
С другой стороны, когда мы говорим о токене, он может содержать любую информацию ... Идентификатор сессии, например ...
Так что я пропустил? Почему люди не определяют нечто подобное Cookie-Session-based
или Token-Claims-based
аутентификацию, когда говорят о типах аутентификации?
источник
Проще говоря,
Проверка подлинности на основе файлов cookie
google.com
и отправляет его веб-клиенту.mail.google.com
), он отправляет все файлы cookie, основанные на его домене (например,google.com
), на веб-сервер, который проверяет / проверяет и разрешает / запрещает доступ на основе состояния и отметки времени печенье.Сеансовая аутентификация
Аутентификация на основе токенов
Аутентификация на основе утверждений
источник