A autenticação baseada em token é um método de autenticação em que um cliente recebe um token após a autenticação bem-sucedida. Esse token é então usado para autorizar solicitações subsequentes aos recursos protegidos. Aqui estão alguns exemplos que ilustram diferentes tipos de token e cenários:

1. JSON Web Tokens (JWT): Este é o tipo mais prevalente de autenticação baseada em token atualmente. Os JWTs são independentes e assinados digitalmente, contendo reivindicações (informações sobre o usuário e a autenticação).

* Cenário de exemplo: Um usuário faz login em um aplicativo da Web com seu nome de usuário e senha. O servidor verifica as credenciais e, após o sucesso, emite um JWT. O cliente inclui este JWT no cabeçalho `Authorization` de solicitações subsequentes (por exemplo,` Autorização:portador `). O servidor verifica a assinatura do JWT e as reivindicações para autorizar o acesso. Muitas APIs usam JWTs (por exemplo, APIs REST, APIs grafql).

* Variações: Os JWTs podem ser usados ​​com diferentes algoritmos de assinatura (por exemplo, HS256, RS256), influenciando a segurança e a complexidade do gerenciamento -chave.


2. OAuth 2.0 Tokens de acesso: OAuth 2.0 é uma estrutura de autorização, não um protocolo de autenticação em si. No entanto, geralmente usa tokens para autorização.

* Cenário de exemplo: Um usuário deseja acessar um recurso protegido no Serviço A (por exemplo, seu Google Drive) usando um aplicativo de terceiros (Serviço B, por exemplo, um editor de fotos). O usuário autentica com o Serviço A (por exemplo, Google) e concede permissão do Serviço B para acessar recursos específicos. Serviço A emite um token de acesso ao serviço B. O Serviço B usa esse token de acesso para fazer solicitações para atender a API da A em nome do usuário, sem precisar lidar diretamente com as credenciais do usuário. Isso é amplamente utilizado para logins sociais e integrações de API. Os tokens de atualização são frequentemente usados ​​para prolongar a vida útil dos tokens de acesso.


3. Chaves da API: Embora mais simples que o JWTS, as chaves da API são uma forma de autenticação baseada em token frequentemente usada para comunicação de máquina a máquina. Eles são tipicamente seqüências longas e geradas aleatoriamente.

* Cenário de exemplo: Um aplicativo móvel precisa acessar um serviço de back -end. O aplicativo recebe uma chave de API durante o desenvolvimento. O aplicativo inclui a chave da API em cada solicitação para o serviço de back -end, geralmente como um parâmetro ou cabeçalho de consulta. Isso é menos seguro que o JWTS devido à sua falta de expiração e dificuldade na revogação.


4. Tokens de sessão (cookies): Embora não seja estritamente "baseado em token" no sentido de JWTs, os tokens de sessão, geralmente armazenados como biscoitos, operam em um princípio semelhante. Após o login bem -sucedido, um servidor gera um ID de sessão exclusivo (token) e o envia ao cliente como cookie. O cliente inclui esse cookie nas solicitações subsequentes e o servidor o usa para identificar a sessão do usuário. Isso é comumente usado em aplicativos da Web, mas é vulnerável a vários ataques, a menos que seja adequadamente protegido (por exemplo, usando HTTPS e sinalizadores de cookies seguros).

Diferenças e considerações -chave:

* Segurança: Os JWTs oferecem melhores recursos de segurança (assinaturas digitais, tempos de validade) em comparação com as chaves da API simples ou os tokens de sessão.
* Complexidade: A implementação do JWT pode ser mais complexa do que usar métodos mais simples, como as chaves da API.
* revogação: A revogação dos JWTs pode ser desafiadora, enquanto os tokens baseados em sessões são mais fáceis de invalidar.
* escalabilidade: A autenticação baseada em token geralmente escala melhor do que as abordagens baseadas em sessões.


Em essência, qualquer sistema em que um cliente recebe um identificador exclusivo (token) para provar sua identidade e obter acesso aos recursos após o processo de autenticação inicial pode ser considerado uma forma de autenticação baseada em token. O tipo específico de token e sua implementação variam muito com base em necessidades de segurança e opções arquitetônicas.