Какие виды авторизации существуют в веб-приложениях?

Question

Существует несколько распространённых видов авторизации: сессии (cookie-based), токены (JWT, Bearer-токены), OAuth 2.0, API-ключи, Basic/Digest Auth и mTLS. Сессионная авторизация удобна для браузеров, токены — для мобильных и распределённых систем. OAuth позволяет делегировать доступ между сервисами. API-ключи применяются для сервисных интеграций. Каждый метод имеет свои плюсы и ограничения в зависимости от архитектуры.

YeaHub · Accepted Answer

Авторизация определяет, кто пользователь и какие действия ему разрешены.1. Cookie-based авторизация (сессии)Определение:Сессионная авторизация — метод, при котором сервер хранит состояние сессии пользователя, а в браузере — идентификатор сессии.Особенности:сервер хранит данные (session store);подвержено CSRF, нужно применять защиты;хорошо подходит для классических веб-приложений.2. Token-based авторизация2.1. JWT (JSON Web Token)токен содержит полезные данные и подпись;сервер не хранит состояние;удобно для микросервисов и SPA.2.2. Bearer tokenпростой непрозрачный токен;сервер проверяет его через хранилище (Redis, БД).3. OAuth 2.0Используется для делегирования доступа:даёт приложению работать от имени пользователя;применяется в Google, GitHub, Facebook;подходит для third-party интеграций.4. API Keysпростой ключ, выдаётся сервису;ограниченный набор прав;часто используется в публичных API.5. Basic и Digest Authвстроены в HTTP;подходят для внутренних или защищённых сервисов;редко используются для публичных приложений.6. mTLS (Mutual TLS)клиент и сервер подтверждают личность сертификатами;применяется в безопасных корпоративных средах.7. ВыводРазные виды авторизации подходят для разных архитектур: сессии — для браузеров, токены — для API, OAuth — для делегирования, API-ключи — для интеграций, mTLS — для защищённых систем.