Tôi đã đọc về xác thực và trở nên khó hiểu về phân loại.
Hãy bắt đầu từ xác thực dựa trên Cookie, Nếu tôi hiểu đúng, điểm quan trọng là tất cả dữ liệu, cần thiết cho xác thực người dùng, được lưu trữ trong cookie. Và đây là sự nhầm lẫn đầu tiên của tôi: trong cookie chúng tôi có thể lưu trữ
- id phiên và vì vậy nó trở thành một xác thực dựa trên phiên?
- khiếu nại, và do đó, nó có nên được gọi là xác thực dựa trên Yêu cầu không?
- Tôi đã thấy rằng một số người thậm chí lưu trữ mã thông báo JWT trong cookie, nhưng điều này có vẻ như là một triển khai tùy chỉnh của luồng xác thực riêng ...
Bây giờ hãy chuyển sang xác thực dựa trên yêu cầu. Yếu tố chính là khiếu nại và tập hợp các yêu cầu có thể sử dụng làm container
- cookie (như đã thảo luận ở trên)
- mã thông báo (JWT làm ví dụ).
Từ phía bên kia, khi chúng ta đang nói về mã thông báo, nó có thể chứa bất kỳ loại thông tin nào ... Ví dụ về Id phiên ...
Vì vậy, những gì tôi đã bỏ lỡ? Tại sao mọi người không định nghĩa một cái gì đó như Cookie-Session-based
hoặc Token-Claims-based
xác thực khi nói về các loại xác thực?