Ho letto le autenticazioni e mi confondo sulla classificazione dei tipi.
Iniziamo dall'autenticazione basata su cookie, Se ho capito bene, il punto chiave è che tutti i dati, necessari per l'autenticazione dell'utente, sono memorizzati nei cookie. E questa è la mia prima confusione: nei cookie possiamo memorizzare
- id di sessione e quindi diventa un'autenticazione basata sulla sessione?
- attestazioni, e quindi dovrebbe essere chiamato come autenticazione basata su attestazioni?
- Ho scoperto che alcune persone memorizzano anche i token JWT nei cookie, ma sembra un'implementazione personalizzata del proprio flusso di autenticazione ...
Passiamo ora all'autenticazione basata su attestazioni. L'elemento principale è il reclamo e la raccolta di attestazioni potrebbe essere utilizzata come contenitore
- cookie (come discusso sopra)
- token (JWT come esempio).
Dall'altro lato, quando stiamo parlando del token, può contenere qualsiasi tipo di informazione ... ID sessione per esempio ...
Quindi cosa ho perso? Perché le persone non definiscono qualcosa come Cookie-Session-based
o Token-Claims-based
autenticazioni quando si parla di tipi di autenticazione?