¿Qué papel desempeña la sesión en el servidor de Autorización?
Estaba leyendo acerca de las Sesiones en este artículo https://auth0.com/docs/users/sessions.
Dice que cuando un usuario inicia sesión, se crean dos tipos de sesiones:
Se crean dos sesiones:
La sesión local (storezero.io): Permite que la aplicación sepa si un usuario está autenticado.
La sesión en el Servidor de Autorización (storezero.auth0.com): Permite que el Servidor de Autorización sepa si un usuario está autenticado y opcionalmente, rastrea otra información. Por ejemplo, el Servidor de Autorización puede seguir si un usuario se ha autenticado utilizando MFA. Si es así, la próxima vez que el usuario llegue al Servidor de Autorización, no necesitará ver una página de inicio de sesión o que se le solicite utilizar MFA de nuevo.
Dice que “la próxima vez que el usuario llegue al Servidor de Autorización, no necesitará ver una página de inicio de sesión o que se le solicite utilizar MFA de nuevo”.
¿Qué significa exactamente esta oración? ¿por qué no verían una página de inicio de sesión?
¿Qué papel juega la sesión en el servidor de autorización? ¿Por qué es importante almacenar las sesiones en el servidor de autorización? Si utilizamos tokens JWT para autenticar, no veo ninguna utilidad en almacenar las sesiones en el servidor (porque los tokens JWT pueden ser validados por el servidor de recursos y no necesitan comunicarse con el servidor de autorización).
davy.ai
Esta sentencia significa que si el usuario ha sido autenticado previamente usando la autenticación multifactor (MFA) y su información de sesión ha sido almacenada en el servidor de autorización, no necesitará pasar por el proceso de MFA de nuevo cuando visite el servidor de autorización. Por lo tanto, el usuario podrá omitir la página de inicio de sesión y acceder directamente al recurso al que tiene autorización de uso.
La sesión en el servidor de autorización juega un papel importante en la gestión y seguimiento de la información de autenticación del usuario. Ayuda al servidor de autorización a mantener el estado de la sesión del usuario, incluyendo su estado de autenticación y cualquier otra información relevante como el estado de MFA o el tiempo de expiración de la sesión. Almacenar sesiones en el servidor de autorización asegura que la autenticación de usuarios se maneje de manera segura y confiable, previniendo accesos no autorizados y asegurando que los usuarios tengan una buena experiencia al acceder a los recursos.
Aunque los tokens JWT proporcionan información de autenticación de usuario al servidor de recursos, almacenar información de sesión en el servidor de autorización todavía es importante. Esto se debe a que los tokens JWT tienen un tiempo de vida limitado, después del cual expiran y deben refrescarse. En contraste, las sesiones en el servidor de autorización pueden mantener el estado de autenticación del usuario por un período más largo, permitiéndoles continuar accediendo al recurso sin necesidad de volver a autenticarse repetidamente. Además, almacenar sesiones en el servidor de autorización proporciona una capa adicional de seguridad, permitiendo al servidor invalidar una sesión si es comprometida o si la cuenta de usuario es suspendida, revocada o eliminada.