Sesion Authentication

  • เก็บ session data ในฝั่ง server เมื่อผู้ใช้ login สำเร็จ
  • จากนั้น server ส่ง response กลับมา พร้อมทั้งเก็บ session ID ไว้ที่ cookie บนเว็บเบราว์เซอร์
  • เมื่อมีการ request ไปที่ server ตัว session ID จะถูกแนบไปด้วยทุกครั้ง
  • จากนั้นฝั่ง server ก็จะเปรียบเทียบว่าตรงกันหรือไม่ จากนั้นก็ให้เข้าถึงหน้าที่ต้องได้
    ปลอดภัยน้อยกว่า Token Authentication
  • มักใช้กับ Server Side Rendering (SSR) เช่น Django, Laravel เป็นต้น

Token Authentication

  • User ล็อกอินด้วย credentials เช่น username & password
  • ฝั่ง server สร้าง JWT (JSON Web Token) ขึ้นมา แล้วส่งกลับไปที่ client
  • ฝั่ง client เก็บ JWT ไว้บน Local Storage
  • ฝั่ง client แนบ JWT เข้าไปกับ HTTP headers ทุกครั้ง เมื่อมีการ request ข้อมูลมาที่ฝั่ง server
  • มักใช้สำหรับ RESTful APIs
  • สเกลได้ดีกว่า Session Authentication เพราะเก็บ Token ไว้บน Local Stoarge 


บทความแนะนำอ่านเพิ่มเติม: Authentication คืออะไร