जेव्हा कोणी मला विचारतं “मी session वापरू की JWT?”, तेव्हा या प्रश्नामागे नेमकं काय आहे ते मला माहीत असतं. त्यांनी काही blog posts वाचलेले असतात, “stateless” हा शब्द जणू आपोआप चांगला असतो असा वापरला जाताना पाहिलेला असतो, आणि आता ते गोंधळलेले असतात. तर चला, हे नीट समजून घेऊया - buzzwords ने नाही, तर wire वर आणि तुमच्या सर्व्हरवर प्रत्यक्षात काय घडतं त्याद्वारे.
Session: “फ्रंट डेस्कवर रेकॉर्ड ठेवतो” पद्धत session-based auth ला हॉटेलमध्ये चेक-इन करण्यासारखं समजा. तुम्ही फ्रंट डेस्कवर एकदाच तुमचं ID दाखवता, स्टाफ ते verify करतो, आणि तुम्हाला एक रूम की कार्ड देतो. त्या कार्डमध्ये तुमचं नाव, पासपोर्ट नंबर किंवा बुकिंग डिटेल्स नसतात - ते फक्त एक रँडम नंबर असतं. तुमची खरी सगळी माहिती हॉटेलच्या कॉम्प्युटर सिस्टीममध्ये, त्यांच्या डेटाबेसमध्ये, त्या कार्ड नंबरशी लिंक करून साठवलेली असते.
तुम्ही एखाद्या वेबसाइटला पाठवलेल्या प्रत्येक request सोबत तुम्हाला कधीही न दिसणारा metadata चा एक छोटा ढीग असतो. Headers. तुमचे connection encrypted आहे की नाही, एखादे page iframe मध्ये embed करता येईल की नाही, कोणत्या CDN edge ने तुम्हाला serve केले, आणि browser ने एखादे cookie वर्षभर लक्षात ठेवावे की नाही — हे सगळे तेच ठरवतात. एखादी खरीखुरी, गजबजलेली production site काय पाठवते हे मला बघायचे होते, म्हणून मी curl एका Amazon endpoint कडे रोखले आणि response headers बाहेर काढले. लक्षात आले की उलगडण्यासारखे बरेच काही आहे.