احراز هویت در APIها و دردسرها

[sajadspeed]

با سلام، دوستان فرض کنید یک API(فرضا رست) داریم توسعه می‌دیم، برای بحث احرازهویت کاربران معمولا از توکن استفاده می‌شود، در اینجا چند تا سوال مطرح می‌شود:

1. آیا شیوه‌های دیگری غیر از توکن برای احراز هویت وجود دارد؟ یه جاهایی از session استفاده می‌کنن مثل موقعی که با nextJS و لاراول و اینا ترکیب می‌کنن، ولی خوب به نظرم به هیچ وجه اصولی نیست.

2. آیا اصلا در APIها استفاده از session در کاربردهایی به غیر از authentication مجاز است؟ مثلا برای نگه‌داری یه دیتای موقت و ...

3. در آخر شیوه درست و اصولی ارسال توکن(دریافت توسط API) به چه شکل است؟ توی هدر بفرستیم؟ به شکل عادی با بقیه دیتاها ارسال کنیم؟ یا ...

پ.ن: ببینید دوستان بنده یه سری اصول و قواعدی برای این مواردی که مطرح کردم دارم، ولی خوب می‌خوام نظرات دوستان را هم بدونم که آن‌ها به چه شکل فکر می‌کنن و اصولی که آن‌ها در نظر می‌گیرند به چه صورت است. خیلی ممنون...

[دانیال بهزادی]

بستگی به معماریت داره. استفاده از ژتون JWT فقط وقتی معماریت stateless باشه، منطقیه.

[sajadspeed]

آقای بهزادی متوجه نمی‌شم منظورتون از معماری در API چیه؟ تا اونجایی که می‌دونم معمولا معماری Rest یا SOAP و... داریم و این stateless که ذکر کردید دقیق نمی‌دونم به چی اشاره دارید...

[M!lad]

وقتی سرور هیچ جزئیاتی از session کاربر رو ذخیره نمی‌کنه و هر درخواست شامل تمامی جزئیات لازم برای انجام  اون درخواست می‌شه معماری stateless هست.

من عموما از JWT و Blacklisting استفاده می‌کنم.

[nixoeen]

در مورد OAuth 2.0 مطالعه کنید.

[sajadspeed]

وقتی سرور هیچ جزئیاتی از session کاربر رو ذخیره نمی‌کنه و هر درخواست شامل تمامی جزئیات لازم برای انجام  اون درخواست می‌شه معماری stateless هست.

من عموما از JWT و Blacklisting استفاده می‌کنم.

آهان متوجه شدم، خیلی ممنون.
فقط چطور میتوانم اطلاعات بیشتری در زمینه این معماری‌ها به دست بیاورم؟ مقایسه و...
آخه هر چی هم عناوینی مثل types of api architectures سرچ میکنم به نتیجه‌ای نمی‌رسم و همون اطلاعات قبلی مثل رست و سواپی که می‌دونستم میاره...

[sajadspeed]

در مورد OAuth 2.0 مطالعه کنید.

حتماً 👍