Как правильно сделать аунтефикацию?

Question

[pshy_soch]

Мне нужна теория.
Что вы понимаете под хорошей аунтефикацией? Пробовал JWT, но потом столкнулся с хейтом, из за его безопасности.
Пароли должны храниться в сессиях , или же в кукисах?

Comments

[Дмитрий]

Пароли должны храниться в базе после применения к ним алгоритма шифрования. Больше они нигде не должны храниться. Или вы имеете ввиду токен для JWT?

[pshy_soch]

Дмитрий, Нет, я о сессиях и кукисах, являются ли они хорошим тоном, или достаточно базы данных?

[Дмитрий]

pshy_soch,
1) Пользователь при регистрации задает пароль, этот пароль вы пропускаете через механизм шифрования(самый модный и безопасный сейчас BCrypt) и сохраняете в базе.
2) Пользователь проходит аутентификацию, вводит пароль. Вы пропускаете пароль через механизм шифрования и если полученное значение совпадает со значением в базе, генерируете токен и выдаете на клиент, где храните его в кукис с флагом secure http-only. При запросах к серверу отсылаете кукисы и на сервере проверяете ключ. Никаких проблем быть не должно.

[pshy_soch]

Дмитрий, jwt токен?

[Дмитрий]

pshy_soch, Не знаю что именно "jwt токен", но скорей всего да =)

Answer 1

[Иван Шумов]

1. JWT это не аутентификация, это формат токена. И за безопасность он не отвечает по тому что в нем не хранят ничего ценного
   
2. пароли нигде храниться не должны
   
3. Для простоты можно начать с куки и хранить там идентификатор сессии
   
4. если хочется сразу хорошо и правильно - стоит почитать о том как работает OAuth2 и OpenID. Для того чтобы максимально просто начать потыкать - взять бесплатный акк на Auth0 и выполнить простой мануал минут за 15