Auth 模式：session vs JWT、OAuth + PKCE、token 存哪、refresh rotation

資深前端面試一定問 auth。session cookie vs JWT 的根本差異、OAuth 2.0 + PKCE 的 flow、token 存 localStorage vs httpOnly cookie 的安全取捨、refresh token rotation 防重放——四條主題串成一條線；附 SSO / MFA 概念與 edge middleware 驗 token。內部使用。

#auth#jwt#oauth#session#csrf#pkce#refresh-token#sso#interview-prep#面試系列#private

問「session cookie 跟 JWT 差在哪」、「token 你存哪」、「OAuth + PKCE 為什麼要 PKCE」——這三題在問同一件事：你懂不懂 auth 是「在無狀態 HTTP 上維持狀態」這個根本問題的不同解。一條線串完就懂為什麼沒有銀彈、選哪個看 trade-off。