Обзор аутентификации на основе токенов

[SergeKh]

У описанной системы две проблемы: 1. Она не устраняет необходимость пароля. 2. Она ничем не отличается от сессионных кук, кроме устойчивости к MIM атакам, а вроде бы считается, что протокол TLS 1.3 и так устойчив к MIM. Тогда не понятно зачем огород городить.

Ну и использование SMS в качестве OTM пароля - это отдельная песня, не имеет отношения именно к токенам, но это (обычно) не правильно.

[ris58h]

1. Зачем пароль в физических токенах? Ключи API тоже не предполагают пароль. Конечно, их необходимо получить и, скорее всего, придётся залогиниться в систему управления, но это косвенное взаимодействие.

2. Куки всё же предполагают взаимодействие через браузер.

[funca]

Обзор аутентификации на основе ключей. Ключ служит для отпирания замков. Гаечный ключ откручивает гайки определенного размера. Ключ к шифру позволяет расшифровать сообщение. Скрипичный ключ определяет привязку нот к высоте звуков.

[grossws]

Блин, ожидал сравнение развлечений типа kerberos/oauth/oauth2/oidc, подходов в u2f/webauthn или хотя бы рассуждения про transparent/opaque токены, а увидел стандартное унылое кг/ам.

Почему авторы таких статей даже не осиливают прочитать определения identification, authentication & authorization перед тем как смешивать в одну кучу все три куска?