ฉันได้อ่านเกี่ยวกับการรับรองความถูกต้องและทำให้เกิดความสับสนเกี่ยวกับการจำแนกประเภท
เริ่มจากการพิสูจน์ตัวตนแบบใช้คุกกี้ถ้าฉันเข้าใจถูกต้องประเด็นสำคัญคือข้อมูลทั้งหมดที่จำเป็นสำหรับการตรวจสอบผู้ใช้จะถูกเก็บไว้ในคุกกี้ และนี่เป็นความสับสนครั้งแรกของฉัน: ในคุกกี้เราอาจเก็บไว้
- session id และมันจะกลายเป็นการรับรองความถูกต้องตามเซสชั่น?
- การอ้างสิทธิ์และควรเรียกว่าเป็นการรับรองความถูกต้องโดยอิงตามการเรียกร้องหรือไม่
- ฉันได้พบว่าบางคนถึงกับเก็บโทเค็น JWT ไว้ในคุกกี้ แต่ดูเหมือนว่าจะมีการปรับใช้การตรวจสอบสิทธิ์เอง ...
ตอนนี้เรามาเปลี่ยนมาใช้การรับรองความถูกต้องตามการอ้างสิทธิ์ องค์ประกอบหลักคือการเรียกร้องและการรวบรวมการเรียกร้องสามารถใช้เป็นที่เก็บ
- คุกกี้ (ตามที่กล่าวไว้ข้างต้น)
- โทเค็น (JWT เป็นตัวอย่าง)
จากอีกด้านหนึ่งเมื่อเราพูดถึงโทเค็นมันอาจมีข้อมูลใด ๆ ... รหัสเซสชันเช่น ...
แล้วฉันจะพลาดอะไรไป? ทำไมคนไม่กำหนดสิ่งที่ชอบCookie-Session-based
หรือToken-Claims-based
รับรองความถูกต้องเมื่อพูดคุยเกี่ยวกับประเภทการรับรองความถูกต้อง?