Autorizace a autentifikace

Autorizace

• způsob přihlašování do aplikace
• přístupové údaje
• biologický zámek
• přístupové karty
• ...

Autentifikace

• způsob ověření totožnosti
• omezení, co může uživatel dělat

Způsoby uchovávání přihlášení

Session

• ukládá se na serveru
• při prvním přístupu se vytvoří nová session
• při každém dalším přístupu se session obnoví pomocí kódu uloženého v cookie
• bezpečnostní problémy

Session

Práce

Zkusme vymyslet naivní implementaci session. Porovnáme ji s již existujícími řešeními v expressu.

Přihlašovací token

• ukládá se na klientovi
• localstorage, cookie, sessionstorage
• při přihlášení se vytvoří token a uloží se na klientovi
• při každém dalším přístupu se token odesílá na server v hlavičce

Typy tokenu

Náhodný řetězec

• uchovává se u klienta a serveru
• neuchovává žádné informace přímo

JWT

• JSON Web Token
• uchovává se u klienta
• obsahuje různé informace na více
• base64
• systém podpisu a zabezpečení
• https://jwt.io/
• header.payload.signature

JWT

Práce

Ukážeme si, jak se s JWT pracuje v Node.js a jak se používá.