Authenticatie is de stap waarin een systeem controleert of je echt bent wie je zegt te zijn, voordat het je iets laat doen. Het is het digitale equivalent van je ID tonen bij de deur: de portier bepaalt nog niet wat je binnen mag doen, hij bevestigt alleen dat je naam bij je gezicht hoort.
Het klassieke voorbeeld is een gebruikersnaam en wachtwoord, maar een wachtwoord alleen is een mager bewijs, want wie het steelt wordt jou. Daarom combineren sterke opzetten factoren: iets wat je weet (een wachtwoord), iets wat je hebt (een code op je telefoon), of iets wat je bent (een vingerafdruk). Die lagen op elkaar stapelen is het idee achter multi-factor authentication. Veel sites laten je ook authenticeren via een account dat je al vertrouwt, een patroon dat single sign-on heet.
Het helpt om authenticatie los te zien van autorisatie. De eerste bewijst wie je bent; de tweede bepaalt wat je mag aanraken. Een bezoeker en een manager kunnen allebei geauthenticeerd zijn en toch heel andere dingen zien zodra ze binnen zijn.
Onder de motorkap bewijs je jezelf meestal niet bij elke klik. Na de eerste geslaagde login geeft het systeem je een sessie of een ondertekend token, vaak een JWT, en je browser toont dat bij elk volgend verzoek. Dat is handig, maar het is ook de zwakke plek: als dat token wordt gestolen of nooit verloopt, kan een aanvaller de login helemaal overslaan. Daarom telt een korte geldigheidsduur en netjes uitloggen net zo zwaar als een sterk wachtwoord.
Bij TopDevs bouwen we authenticatie die lastig is voor aanvallers en moeiteloos voor echte gebruikers, zodat inloggen vlot voelt terwijl gestolen inloggegevens tegen een muur lopen.