又稱 Session Based Authentication
實作方式
- 步驟:登入 → 建立 session → 回傳 session id → 儲存 session id 到 cookie
特性
- IdP 需要空間存放 Session
- IdP 需要查表來找 user data
- 登出或註銷時需要刪除 session
- 通常搭配 Cookie 一起用
- session id 需先雜湊函數加密後 (signed with secret) 才能回傳
- 通常用在 SSR
優點
- 方便好寫
- session id 本身不包含 user data,被外洩「相對」安全
缺點
- OPAQUE — 無法給第三方使用
- 伺服器需要大空間儲存 session
- 無法(難以) 使用分散式伺服器