### Определения
- Аутентификация - процесс подтверждения подлинности (Например: имя пользователя и пароль).
- Авторизация - Определение доступных пользователю ресурсов.

### Механизмы
- Хэширование предполагает безопасное хранение, часто в виде хэша.
- Cookie - данные, которые сервер может отправить браузеру.
- JWT (JSON Web Token) состоит из трех частей: Header, Data (Payload), и Signature.

### JWT Token

```python
## Пример JWT токена
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
```
#### Заголовок (Header) - содержит информацию о типе токена и используемом алгоритме шифрования.
```json
{
  "alg": "HS256",
  "typ": "JWT"
}
```
#### Полезная нагрузка (Payload) - содержит утверждения (claims) о пользователе и другие данные.
```json
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}
```
#### Подпись (Signature) - результат шифрования заголовка и полезной нагрузки с использованием секретного ключа.
```python
HMACSHA256(
  base64UrlEncode(header) + "." + base64UrlEncode(payload),
  secret
)
```

##### Зарезервированные поля
1. iss (Issuer) - указывает на издателя токена.
2. sub (Subject) - определяет субъект токена, обычно идентификатор пользователя.
3. aud (Audience) - определяет аудиторию, для которой предназначен токен.
4. exp (Expiration Time) - указывает время истечения срока действия токена.
5. nbf (Not Before) - указывает время, до которого токен не должен быть принят.
6. iat (Issued At) - указывает время создания токена.
7. jti (JWT ID) - уникальный идентификатор токена.

#### Процесс Аутентификации
1. Получение хэша пароля - извлечение хэша пароля пользователя из базы данных.
2. Проверка пароля - сравнение предоставленного пароля с хэшем в базе данных.
3. Создание токена доступа - если пароль верен, создается JWT для пользователя.

#### Ответ сервера
После успешной аутентификации сервер устанавливает cookie с токеном доступа, используя `set_cookie`.

#### Эндпоинты
- `/endpoint/user` - может использоваться для получения данных о текущем пользователе или токене.
- `get_current_user/token` - функция для извлечения информации о пользователе из токена.
- `get_token/req` - функция для получения токена из запроса.

#### Валидация Токена
При каждом запросе, который требует аутентификации, необходимо проверить:
1. Является ли токен JWT?
2. Не истек ли срок его действия?
3. Содержит ли токен поле `sub`?

#### Создание Токена
При создании токена важно правильно установить все значения. После создания токена, его можно декодировать с помощью `token.decode()` для проверки.