Продолжаем цикл постов на тему идентификации/аутентификации/авторизации. Для начала скажем пару слов про идентификацию. Сейчас распространены следующие виды: - логин или почта; - идентификаторы устройства; - биометрия. Про методы аутентификации поговорим подробнее вследствие большой вариативности её реализаций. В данном посте мы хотим подробнее разобрать несколько наиболее популярных и используемых в современных системах, а также дать ряд полезных ссылок для дальнейшего погружения в тему. Пойдем от наиболее примитивных и слабо защищенных к наиболее защищенным и сложным. 1. Basic auth 🪙 Самый базовый вариант аутентификации: наиболее старый (1996г.), примитивный и наименее защищенный. Суть способа: клиент каждый раз передает серверу логин и пароль для аутентификации в кодировке Base64 в HTTP-заголовке Authorization: Basic. 👎Недостатки: - высокий риск утери пароля(так называемая проблема man-in-the-middle) –так как base64 кодирует, но не шифрует; - доступ без ограничений по времени. 2. Session/Token-based 🪙 Суть способа: клиент по логину и паролю получает от приложения идентификатор (токен или сессию), а дальше работает с ним. 👎Недостатки: - требуется регулярно передавать идентификатор приложению напрямую. ⚡️Отдельно разберемся в отличиях token- и session auth: - состояние сессии хранится на сервере, а токена – на клиенте; - session auth является stateful (на сервере требуется явно хранить связь пользователь-сессия), а токен – stateless (вся информация о пользователе зашифрована в токене). 🐾В контексте токенов, отдельно подсветим, что Bearer – это способ аутентификации (далее может следовать токен в каком-то из видов) , а JWT – конкретный формат токена. 3. OAuth и OAuth2.0 🪙 Важно понимать, что сам по себе OAuth – протокол авторизации, но в индустрии под этим обычно подразумевают выделение авторизационного сервера (при этом фактически может быть использован формат с access-токенами). Суть метода: приложение пользователя использует редирект на выделенный сервер авторизации, далее клиент обменивается паролем с ним в обход приложения.  Несмотря на относительную надежность, риски все равно есть: перехват данных при редиректе, взлом или утечка данных с сервера авторизации. Поэтому технологии идут вперед, и в настоящее время набирают популярность новые схемы аутентификации. 4. Развивающиеся способы аутентификации ⭐️ Если развивать тему OAuth и OAuth2.0, то существует надстройка над OAuth в виде OpenIDConnect, в рамках которой помимо токена доступа генерируется JWT-токен, содержащей информацию о пользователе и его сеансе взаимодействия с системой. Также в последнее время все большую популярность набирают способы аутентификации по биометрии (преобразование отпечатков, сетчатки, голосовых вибраций в цифровой код). "Золотым стандартом" надежности считается использование криптографических ключей (генерация двух ключей, один из которых – закрытый, хранится в чипе устройства; а открытый – на сервере). 🏦Поставь реакцию на пост, если хочешь, чтобы мы подробнее разобрали последнюю категорию способов аутентификации.