Eu li sobre autenticações e fiquei confuso sobre a classificação de tipos.
Vamos começar pela autenticação baseada em cookies. Se eu entendi direito, o ponto principal é que todos os dados, necessários para a autenticação do usuário, são armazenados em cookies. E esta é minha primeira confusão: em cookies, podemos armazenar
- identificação da sessão e, assim, torna-se uma autenticação baseada em sessão?
- reivindicações e, portanto, deve ser chamada como autenticação baseada em declarações?
- Descobri que algumas pessoas até armazenam token JWT em cookies, mas isso parece uma implementação personalizada do próprio fluxo de autenticação ...
Agora vamos mudar para autenticação baseada em declarações. O elemento principal é a declaração e a coleção de declarações pode ser usada como contêiner
- cookies (como discutido acima)
- token (JWT como o exemplo).
Por outro lado, quando estamos falando sobre o token, ele pode conter qualquer tipo de informação ... ID da sessão, por exemplo ...
Então o que eu perdi? Por que as pessoas não definem algo como Cookie-Session-based
ou Token-Claims-based
autenticações ao falar sobre tipos de autenticação?