1. Pengguna Memasukkan Kredensial

Pengguna membuka halaman login dan memasukkan username/email dan password.

2. Server Memverifikasi Kredensial

Server menerima data login dan mencocokkannya dengan data yang tersimpan (biasanya di database).

Password biasanya disimpan dalam bentuk hash, bukan teks asli, untuk keamanan.

3. Jika Berhasil, Server Mengirimkan Token/Sesi

Jika kredensial cocok, server:

Membuat session (disimpan di server, ID-nya dikirim ke client lewat cookie), atau

Mengirimkan token autentikasi (seperti JWT) ke client untuk digunakan pada permintaan selanjutnya.

4. Pengguna Tetap Terautentikasi

Setiap permintaan selanjutnya ke server menyertakan token atau session ID, sehingga server tahu siapa penggunanya.

5. Logout dan Kedaluwarsa

Pengguna bisa logout manual, atau token/session bisa kedaluwarsa otomatis setelah waktu tertentu.

Autentikasi bisa dilengkapi dengan:

2FA (Two-Factor Authentication): menggunakan OTP atau aplikasi autentikasi.

OAuth/Social Login: menggunakan akun Google, Facebook, dll.