Kenali Perbedaan Auth dan Session Management

Banyak developer masih suka nyampur antara authentication dan session management. Padahal dua hal ini punya peran beda banget dalam sistem keamanan.

1. Authentication itu Gerbang Masuk

Authentication (auth) itu proses memastikan siapa kamu:

• Login pakai username & password
• OAuth lewat Google/GitHub
• Atau bahkan biometrik

Intinya: auth = identifikasi.

Kalau ini bocor, orang lain bisa ngaku-ngaku jadi kamu 😱

2. Session Management itu Penjaga Pintu

Setelah kamu masuk, sistem kasih 'tiket masuk' alias session token. Nah, ini yang dijaga sama session management:

• Simpen token di cookie atau localStorage
• Refresh token kalau hampir expired
• Pastikan token gak dipakai orang lain

Kalau ini bocor, hacker bisa nebeng akses meski gak tahu password.

3. Masalah Umum

• Session gak di-expire pas logout → token bisa dipakai lagi
• Token disimpan di tempat insecure (e.g. localStorage tanpa proteksi)
• CSRF token lupa dicek

Penutup

Authentication = “siapa kamu”, Session = “masih boleh masuk gak?”

Dua-duanya harus dijaga. Karena percuma aja punya pintu kuat, kalau ada yang bisa nyolong kunci cadangan 🚪🔑