又稱 Token Based Authentication
實作方式
- 步驟:登入 → 生成 token → 回傳 token → 儲存到 Cookie
特性
- Authentication
- 客戶端需要地方存放 Token,通常放在 Cookie 或是 Authorization Header
- IdP 需要解密 token 內容來確認 user data
- 使用者登出後要刪除 Cookie,且要黑名單
- 通常用在 SPA 或 mobile app
優點
- 可以用在 single sign-on (SSO)
- 加密後的 token 具無法修改性,不用擔心資訊被竄改
- 可以平行擴展伺服器
缺點
- 根據你使用的 token 生成方式,通常使用者資料暴露在外 (因為直接放 token 裡),相較不太安全
- 伺服器不儲存使用者狀態,但客戶端又不宜放太多資訊,實作要注意的眉角太多