Session Authentication

Session Authentication คืออะไร?

Session Authentication คือ รูปแบบในการรักษาความปลอดภัยที่นิยมใช้บนเว็บไซต์และแอปพลิเคชันต่าง ๆ โดย Session Authentication จะอาศัยเซสชัน (Session) ซึ่งเป็นช่วงเวลาการทำงานของผู้ใช้บนระบบ โดยระบบจะออก Session ID ให้กับผู้ใช้ที่ผ่านการยืนยันตัวตนสำเร็จ และจะเก็บ Session ID ไว้บนฝั่งเซิร์ฟเวอร์

Session Authen (Image source: blogs.halodoc.io)

ขั้นตอนการทำงานของ Session

1. ผู้ใช้กรอกข้อมูลเข้าสู่ระบบด้วย Username และ Password

2. ระบบตรวจสอบข้อมูล

• หากถูกต้อง ระบบจะออก Session ID ให้ผู้ใช้
• หากผิดพลาด ระบบจะแจ้งเตือนให้ผู้ใช้กรอกข้อมูลใหม่

3. ระบบบันทึก Session ID

• บนฝั่งเซิร์ฟเวอร์: มักใช้  Session Storage
• บนเบราว์เซอร์ของผู้ใช้: มักใช้ Cookie

4. ผู้ใช้ใช้งานบนระบบ

• ในทุกๆ คำขอ (Request) ที่ส่งไปยังเซิร์ฟเวอร์ 
•  เบราว์เซอร์จะแนบ Session ID ไปด้วย

5. เซิร์ฟเวอร์ตรวจสอบ Session ID

• หากถูกต้อง อนุญาตให้ผู้ใช้ดำเนินการต่อไป
• หากไม่ถูกต้อง อาจเป็นเพราะหมดเวลา (Timeout) หรือผู้ใช้ไม่ได้รับอนุญาต 
• ระบบอาจนำผู้ใช้ไปยังหน้าเข้าสู่ระบบใหม่อีกครั้ง

ข้อดีของ Session

• ง่ายต่อการใช้งาน
• เหมาะสำหรับระบบที่ต้องการควบคุมการเข้าถึงแบบต่อเนื่อง

ข้อเสียของ Session

• เซิร์ฟเวอร์ต้องรับภาระในการจัดเก็บข้อมูลเซสชัน
• อาจมีช่องโหว่ด้านความปลอดภัยหากใช้ Cookie อย่างไม่ระมัดระวัง