Authentication & Authorization

Desdulianto

Bahasan

• Intro
• Session Authentication
• HTTP Authentication

Intro

• Memproteksi akses terhadap resource
• Challenge-response Authentication
  • User & password pair
  • Secret word
  • Identification token
• HTTP Response
  • 401 Unauthorized
  • 403 Forbidden

Session Authentication

• Memanfaatkan PHP session untuk menentukan apakah request sudah ter-autentikasi atau belum
• Client mengirimkan informasi session id melalui cookie
  • Menggunakan HTML form untuk input credential
  • Gunakan HTTPS untuk mencegah penyadapan ketika cookie ditransfer
• Session dimanage sendiri oleh aplikasi

HTTP Authentication

• HTTP Authentication
• Mekanisme:
  • Server mengirimkan response HTTP 401 dan cara untuk melakukan authentication oleh client
  • Client melakukan authentication sesuai skema dari server, biasanya akan ditampilkan prompt untuk meng-input username dan password
• HTTP Authorization Header
• PHP HTTP Authentication

Basic Authentication

• Server mengirimkan response HTTP 401 dengan header WWW-Authenticate: Basic realm="some realm"
• Client menampilkan prompt/input dialog untuk memasukkan credential (username dan password)
  • username dan password digabung jadi satu 1 text dengan dipisahkan :
  • di-encode ke base64 dan kemudian dikirim ke server melalui request header Authorization: Basic xxx

Digest Authentication

• Mekanisme dasar sama dengan Basic Authentication
• Credential diproteksi dengan metode hashing/digest sesuai dengan parameter yang dikirim oleh server
• Tujuannya adalah memproteksi credential yang dikirim ke server

Token Authentication & Authorization

• Schema HTTP Authorization dengan menggunakan token bearer Authorization: Bearer <token>
• Token di-generate oleh authentication service, bisa dari web yang bersangkutan (first party) atau dari pihak ketiga (third party, misalnya login menggunakan akun Google, Facebook, dll)
  • OAuth 2.0
• Token yang populer dipakai JSON Web Token (JWT)

Mekanisme First Party Authentication & Authorization

• Server mengirimkan HTTP 401
• Client melakukan authentication (bisa melalui web form atau mekanisme lain)
  • Server authentication akan menvalidasi authentication, dan mengirimkan authorization token
  • Client menggunakan authorization token untuk mengakses resource
• Server melakukan validasi terhadap authorization token, jika valid, request diperbolehkan