話を戻して、自分はアプリケーションのセッション管理はアクセスコントロールに関する仕組みであり、「誰か」を確認するためのAuthenticationというよりは「誰がどのような権限を持ってリソースアクセスしようとしているかの省略系」というAuthorizationの部分に当たると考えています。 この考えに至ったのが10年前です。相変わらず雑な記事を書いています。 WebアプリケーションのログインURLのあたりが、ユーザーの認証を行います。ここがAuthenticationですね。 そして、ブラウザやSPAなどに対してHTTP Cookieもしくはアクセストークンとしてセッション情報を表す文字列を渡します。その後、ブラウザはアプリケーションへのアクセスの際にCookie、SPAならばバックエンドサーバーに対してアクセストークンを付与します。それを受け取ったアプリケーションやバックエンドサーバー
![単一アプリケーションにおけるAuthenticationとAuthorizationの役割分担、ポリシー管理|ritou](https://cdn-ak-scissors.b.st-hatena.com/image/square/6ef1adc21d23d3a912f672484e77d13444ae85c7/height=288;version=1;width=512/https%3A%2F%2Fstatic.sizu.me%2Fapi%2Fog-image%2F175561bae3eb%3FavatarUrl%3Dhttps%253A%252F%252Fr2.sizu.me%252Fusers%252F1033%252Favatar.jpeg%253Fv%253D1700036582689%26theme%3Duser%26username%3Dritou)