Узнайте, что такое ID и Access токены и как правильно их использовать в контексте OpenID Connect и OAuth. «Давайте воспользуемся токеном для защиты вызова API. Что мне использовать: ID-токен или Access токен? 🤔 ID токен мне кажется предпочтительнее. В конце концов, если я знаю, кто является пользователем, я могу принимать более обоснованные решения об авторизации, верно?» Вам когда-нибудь приходилось приводить подобные аргументы? Выбор, основанный на интуиции, может оказаться хорошим, но то, что кажется интуитивным, не всегда верно...

Хорошая заметка, чтобы вникнуть в token-based authentication. Начинается всё банально — чем аутентификация отличается от авторизации. Дальше интереснее — access и refresh-токены. Что это, как устроены, почему они в паре и какое имеют отношение к авторизации. Автор уделяет внимание процессу обновления токенов, правильному хранению, а также компрометации — что будет, если токены угонят. Очень важно уметь правильно обращаться с токенами и хранить их. Во многих мануалах на просторах интернета учат, как делать проще, но не как делать правильно. В заключение автор кратенько сравнивает JWT со столь привычными для многих cookie sessions и даёт несколько практических советов...