話を戻して、自分はアプリケーションのセッション管理はアクセスコントロールに関する仕組みであり、「誰か」を確認するためのAuthenticationというよりは「誰がどのような権限を持ってリソースアクセスしようとしているかの省略系」というAuthorizationの部分に当たると考えています。 この考えに至ったのが10年前です。相変わらず雑な記事を書いています。 WebアプリケーションのログインURLのあたりが、ユーザーの認証を行います。ここがAuthenticationですね。 そして、ブラウザやSPAなどに対してHTTP Cookieもしくはアクセストークンとしてセッション情報を表す文字列を渡します。その後、ブラウザはアプリケーションへのアクセスの際にCookie、SPAならばバックエンドサーバーに対してアクセストークンを付与します。それを受け取ったアプリケーションやバックエンドサーバー