ZONER Cookies

Vážený návštěvníku, potvrzením pomocí tlačítka OK udělujete souhlas nám a našim partnerům s použitím cookies pro nezbytné, analytické a marketingové účely na tomto zařízení. Volbou Nastavení můžete sami určit, jaké skupiny cookies je možné zpracovávat, popřípadě jejich zpracování úplně zakázat. Ukládání nezbytných cookies probíhá vždy, a to v zájmu zachování funkčnosti webové prezentace.

V tomto okně můžete zvolit kategorie cookies v souladu s vlastními preferencemi.

Nezbytné

Tyto cookies zajišťují bezchybný provoz našich webových stránek. Umožňují například vložení služby do objednávky, ukládání dat s ohledem na bezpečnost webu, přihlašování k webu a podobně. Nezbytné cookies nelze deaktivovat, jelikož by došlo k narušení správného fungování webu.

Preferenční

Preferenční cookies umožňují, aby si webová stránka zapamatovala informace, které mění, jak se webová stránka chová nebo jak vypadá. Je to například preferovaný jazyk nebo region, kde se nacházíte.

Analytické

Díky nástrojům jakými jsou například Google analytics můžeme sledovat, jak stránky používáte, z jakých zdrojů a technologií. Na základě těchto dat můžeme web neustále vylepšovat, aby byl pro vás co nejpřívětivější. Veškerá data jsou anonymizována, konkrétní uživatele tedy identifikovat nemůžeme.

Marketingové

Společně s nástroji třetích stran můžeme zobrazovat vámi preferované reklamy v partnerských sítích přesně dle vašich zájmů. V případě nesouhlasu je vysoce pravděpodobné, že vaše zájmy a preference nebudou zohledněny a bude se vám reklama zobrazovat plošně. Veškeré profily vašich zájmů jsou pseudonymizované, díky tomu není možná bezprostřední identifikace vaší osoby.

IT Security

Moderní autentizace v praxi: Kdy použít JWT, session nebo passkeys

1. června 2026
Petra Sasínová

Obsah

  1. Co je autentizace
  2. Session autentizace: Stále velmi bezpečný základ
  3. JWT autentizace: Populární řešení pro API a moderní aplikace
  4. Passkeys autentizace: Budoucnost bez hesel
  5. Bezpečnost není jen o typu autentizace
  6. Cloud a autentizační infrastruktura

Související

Přihlášení uživatele dnes není jen otázkou formuláře s heslem. Moderní webové aplikace řeší bezpečnost, škálování API, mobilní zařízení i pohodlnější přihlašování bez hesel. Kdy dává smysl použít klasické sessions, kdy JWT tokeny a proč se stále více mluví o passkeys?

Co je autentizace

Autentizace je proces ověření identity uživatele. Jinými slovy, aplikace, web nebo systém potřebuje zjistit, zda je člověk, který se snaží přihlásit, skutečně tím, za koho se vydává, píše web Owasp.

Jde o jeden ze základních stavebních kamenů bezpečnosti na internetu. Bez autentizace by nebylo možné bezpečně používat internetové bankovnictví, e-mail, firemní systémy, cloudové služby ani administraci webů.

Autentizace nejčastěji probíhá pomocí některého z těchto faktorů:

  • něco, co uživatel zná – například heslo nebo PIN,
  • něco, co uživatel vlastní – například mobilní telefon nebo bezpečnostní klíč,
  • něco, čím uživatel je – například otisk prstu nebo rozpoznání obličeje.

Moderní systémy často kombinují více faktorů najednou. Tento přístup se označuje jako vícefaktorová autentizace (MFA). Typickým příkladem je přihlášení heslem a následné potvrzení pomocí mobilní aplikace nebo biometriky.

Je důležité odlišovat autentizaci od autorizace. Autentizace ověřuje identitu uživatele, zatímco autorizace řeší, co konkrétně může uživatel po přihlášení dělat. Autentizace tedy odpovídá na otázku „Kdo jste?“ a autorizace na otázku „Co smíte dělat?“.

Session autentizace: Stále velmi bezpečný základ

Session-based autentizace patří mezi nejstarší a zároveň stále nejbezpečnější způsoby přihlašování ve webových aplikacích. Přestože se dnes často mluví hlavně o JWT nebo passwordless přístupu, klasické sessions zůstávají standardem u obrovského množství webů a administrací.

Princip fungování je poměrně jednoduchý. Po úspěšném přihlášení server vytvoří uživatelskou session – tedy záznam o tom, že je uživatel ověřený. Tato session je uložena na serveru a prohlížeč obvykle dostane pouze krátký identifikátor ve formě cookie.

Při dalších požadavcích se cookie automaticky posílá zpět serveru, který podle session ID pozná, o jakého uživatele jde.

Velkou výhodou je, že autentizační data zůstávají na serveru. Pokud administrátor účet zablokuje nebo uživatel změní heslo, lze session okamžitě ukončit.

Session autentizace se běžně používá například u WordPressu, e-shopů, administrací, interních firemních systémů a klasických webových aplikací. Moderní aplikace navíc používají bezpečnostní prvky jako HttpOnly cookies, Secure cookies, SameSite ochranu a CSRF ochranu.

Jejich nevýhodou je složitější škálování ve větších cloudových systémech, protože server musí session ukládat a synchronizovat. Proto se u API, mobilních aplikací nebo mikroservis častěji používají JWT tokeny.

Přesto sessions rozhodně nejsou zastaralé. Pro mnoho běžných webových aplikací jde stále o velmi bezpečné a jednoduše spravovatelné řešení.

JWT autentizace: Populární řešení pro API a moderní aplikace

JWT (JSON Web Token) je dnes jedním z nejpoužívanějších způsobů autentizace u moderních webových aplikací a API. Velkou popularitu získal hlavně s nástupem cloud-native architektur, mobilních aplikací, SPA frameworků a mikroservis.

Na rozdíl od klasických sessions server většinou neukládá informace o přihlášení do vlastní paměti. Po úspěšném ověření vytvoří podepsaný token, který obsahuje informace o uživateli a jeho oprávněních. Tento token si následně ukládá klientská aplikace a posílá ho při každém dalším requestu.Začátek formuláře

JWT typicky obsahuje identitu uživatele, role nebo oprávnění, čas expirace a digitální podpis. Díky tomu může server ověřit platnost tokenu bez nutnosti ukládat session stav. To výrazně usnadňuje škálování aplikací a provoz distribuovaných systémů.

Hlavní výhodou JWT je stateless přístup. Server nemusí držet aktivní sessions ani synchronizovat stav mezi více servery. To je velmi praktické zejména v cloudovém prostředí.

Přestože JWT působí moderně a elegantně, právě zde často vznikají bezpečnostní chyby. Mezi nejčastější problémy patří ukládání tokenů do localStorage, příliš dlouhá expirace tokenů, absence revokace, slabé podpisové algoritmy, nedostatečná ochrana refresh tokenů a posílání tokenů bez HTTPS.

Častým omylem je představa, že JWT automaticky představuje modernější a bezpečnější variantu než sessions. Ve skutečnosti záleží hlavně na kvalitě implementace.

Pro mnoho klasických webových aplikací mohou být sessions jednodušší a bezpečnější. JWT naopak dává největší smysl tam, kde je potřeba vysoká škálovatelnost, API komunikace nebo distribuovaná cloudová architektura.

Passkeys autentizace: Budoucnost bez hesel

Passkeys představují moderní způsob přihlašování bez klasických hesel. Místo kombinace e-mailu a hesla využívají kryptografické klíče založené na standardech WebAuthn a FIDO2. Při registraci zařízení vytvoří dvojici klíčů – veřejný klíč uložený na serveru a privátní klíč, který zůstává pouze v zařízení uživatele.

Samotné přihlášení pak probíhá například pomocí Face ID, Touch ID, Windows Hello nebo biometriky v telefonu. Uživatel tak nemusí zadávat heslo ani opisovat jednorázové ověřovací kódy.

Velkou výhodou passkeys je vyšší bezpečnost. Protože uživatel žádné heslo nezadává, výrazně se snižuje riziko phishingových útoků, úniku hesel nebo opakovaného používání stejných přihlašovacích údajů napříč více službami.

Passkeys zároveň zlepšují i uživatelský zážitek. Přihlášení bývá rychlejší, jednodušší a pohodlnější než klasická kombinace hesla a MFA kódu. Moderní ekosystémy navíc umožňují bezpečnou synchronizaci passkeys mezi zařízeními.

Podporu passkeys dnes zavádějí velké platformy jako Google, Apple nebo Microsoft a technologie se postupně rozšiřuje do běžných webových i mobilních aplikací.

Přesto zatím nejde o úplnou náhradu hesel. Mnoho služeb stále nabízí fallback přihlášení pro starší zařízení nebo obnovu účtu při ztrátě telefonu. V praxi proto dnes často vznikají hybridní modely kombinující hesla, MFA a passkeys.

Passwordless autentizace tedy dnes patří mezi nejvýznamnější směry vývoje moderního a bezpečnějšího přihlašování.

Bezpečnost není jen o typu autentizace

Samotná volba autentizační technologie ještě automaticky neznamená bezpečný systém. Ať už aplikace používá sessions, JWT nebo passkeys, rozhodující roli hraje hlavně kvalita implementace a celkové zabezpečení aplikace.

Mnoho bezpečnostních incidentů dnes nevzniká kvůli prolomení samotné kryptografie, ale kvůli chybám ve vývoji, špatné konfiguraci nebo nedostatečné ochraně infrastruktury.

Typickými problémy bývá například:

  • ukládání tokenů do localStorage,
  • slabá hesla,
  • chybějící MFA,
  • špatně nastavené cookies,
  • absence HTTPS,
  • nedostatečná ochrana API,
  • chybějící rate limiting,
  • příliš dlouhá expirace tokenů,
  • nedostatečný monitoring.

Velkou roli dnes hraje také ochrana proti moderním útokům, jako jsou phishing, credential stuffing nebo útoky na API rozhraní. Bezpečnost autentizace proto často zahrnuje i další vrstvy ochrany.

Cloud a autentizační infrastruktura

Moderní autentizace dnes často běží jako samostatná cloudová služba. Firmy využívají identity providery, API gateway nebo centralizované IAM systémy.

S rostoucím důrazem na bezpečnost a digitální suverenitu zároveň některé firmy řeší i to, kde autentizační infrastruktura fyzicky běží a pod jakou legislativou jsou data uložena.

Právě zde může dávat smysl například provoz vlastních autentizačních služeb nebo API infrastruktury na evropském cloudu, například přes ZonerCloud, který umožňuje provoz aplikací a API pod českou a evropskou legislativou.

Předchozí článek Jak si postavit jednoduchý AI workflow bez programování
Petra Sasínová

Novinářka a marketingová specialistka, která má ráda technologie, videohry, umělou inteligenci, knihy a cestování.

Mohlo by vás také zajímat

Nejnovější

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *