Bài học: các cơ chế xác thực người dùng trong ứng dụng web

Cài đặt, Ứng dụng Linux
1

Trong phát triển ứng dụng web và hệ thống phân tán, việc xác thực người dùng là yếu tố cốt lõi đảm bảo an toàn và quản lý truy cập. Bài học này sẽ giúp bạn hiểu sâu về các cơ chế:

  1. WWW-Authenticate (Basic Auth)
  2. Session và Cookie
  3. JWT (JSON Web Token)
  4. SSO (Single Sign-On)
  5. OAuth 2.0
  6. OAuth 2.0 qua sơ đồ

1. :white_check_mark: WWW-Authenticate (Basic Auth)

:pushpin: Giới thiệu:

Đây là một phương thức xác thực đơn giản, được hỗ trợ sẵn trong giao thức HTTP.

:books: Cấu trúc:

  • Trình duyệt gửi yêu cầu truy cập.
  • Máy chủ trả về mã 401 Unauthorized cùng với header WWW-Authenticate.
  • Trình duyệt hiển thị hộp thoại yêu cầu người dùng nhập tên đăng nhập và mật khẩu.
  • Thông tin được mã hóa bằng Base64 và gửi lại trong header Authorization.

:gear: Cách hoạt động:

  1. Người dùng mở trình duyệt và truy cập một trang web.
  2. Máy chủ yêu cầu xác thực qua WWW-Authenticate.
  3. Trình duyệt hiển thị form đăng nhập.
  4. Người dùng nhập thông tin.
  5. Thông tin được gửi lại để xác minh.
  6. Nếu đúng, truy cập được cho phép.

:warning: Hạn chế:

  • Chỉ quản lý được bước đăng nhập.
  • Không hỗ trợ quản lý phiên (session) hay danh tính chi tiết.
  • Không an toàn nếu không dùng HTTPS.

2. :white_check_mark: Session và Cookies

:pushpin: Giới thiệu:

Cơ chế xác thực phổ biến trong các ứng dụng truyền thống, đặc biệt là các hệ thống dùng server-side rendering.

:books: Cấu trúc:

  • Sau khi đăng nhập thành công, máy chủ tạo một session trên server.
  • Gửi session ID qua cookie cho trình duyệt.
  • Trình duyệt lưu cookie và gửi lại trong các yêu cầu tiếp theo.

:gear: Cách hoạt động:

  1. Người dùng đăng nhập.
  2. Máy chủ tạo session, lưu trạng thái trên server.
  3. Gửi cookie chứa session_id cho trình duyệt.
  4. Trình duyệt tự động gửi cookie trong các lần truy cập sau.
  5. Server xác định người dùng thông qua session_id.

:paperclip: Vấn đề:

  • Không hỗ trợ tốt cho ứng dụng di động.
  • Không tiện khi triển khai hệ thống phân tán không trạng thái (stateless).

3. :white_check_mark: JWT (JSON Web Token)

:pushpin: Giới thiệu:

JWT là một chuẩn xác thực dạng token hiện đại, thường dùng trong API và ứng dụng không trạng thái.

:books: Cấu trúc Token:

Header.Payload.Signature
  • Header: Chứa thuật toán ký và loại token.
  • Payload: Dữ liệu người dùng (claims).
  • Signature: Bảo vệ tính toàn vẹn của token.

:gear: Cách hoạt động:

  1. Người dùng đăng nhập thành công.
  2. Server tạo JWT và gửi về cho trình duyệt (qua cookie hoặc localStorage).
  3. Trình duyệt lưu token.
  4. Gửi token trong header Authorization: Bearer <token> ở các lần gọi sau.
  5. Server xác minh token để xác thực người dùng.

:white_check_mark: Ưu điểm:

  • Giảm chi phí xác thực do không cần lưu session.
  • Hỗ trợ tốt API, mobile app, login đa nền tảng.
  • Thích hợp cho mô hình không trạng thái (stateless).

4. :white_check_mark: SSO (Single Sign-On)

:pushpin: Giới thiệu:

SSO cho phép người dùng đăng nhập một lần và được truy cập vào nhiều hệ thống liên kết mà không cần đăng nhập lại.

:books: Cấu trúc và giao thức:

  • Dựa trên các giao thức như CAS, SAML, OAuth, OpenID Connect.

:gear: Quy trình:

  1. Người dùng truy cập hệ thống A (a.com).
  2. Hệ thống A chuyển hướng tới dịch vụ xác thực trung tâm (SSO, ví dụ sso.com).
  3. Người dùng đăng nhập tại sso.com.
  4. SSO xác thực và trả về token truy cập.
  5. Người dùng được cấp quyền vào A, và có thể truy cập B (b.com) mà không cần đăng nhập lại.

:bullseye: Lợi ích:

  • Trải nghiệm người dùng liền mạch.
  • Quản lý xác thực tập trung.
  • Tăng tính bảo mật.

5. :white_check_mark: OAuth 2.0

:pushpin: Giới thiệu:

Là giao thức ủy quyền (authorization) cho phép ứng dụng bên thứ ba truy cập tài nguyên thay mặt người dùng một cách an toàn.

:books: Các Grant Types:

  • Authorization Code: Cho ứng dụng server-side (bảo mật cao).
  • Implicit Grant: Dùng cho ứng dụng client-side (mobile, SPA).
  • Password Grant: Người dùng nhập trực tiếp tài khoản (ít dùng).
  • Client Credentials: Hệ thống-to-hệ thống, không có người dùng.

:gear: Quy trình hoạt động:

  1. Ứng dụng yêu cầu quyền từ người dùng.
  2. Người dùng đồng ý và được chuyển hướng tới máy chủ xác thực.
  3. Máy chủ xác thực cấp access token.
  4. Ứng dụng dùng token để gọi API và truy cập tài nguyên.

:locked_with_key: Bảo mật:

  • Dùng HTTPS bắt buộc.
  • Token có thời hạn.
  • Có thể dùng thêm refresh token để kéo dài phiên đăng nhập.

6. :white_check_mark: OAuth 2.0 qua sơ đồ minh hoạ

:receipt: Hỗ trợ các loại luồng:

  • :globe_with_meridians: Authorization Code: qua trình duyệt (web app).
  • :handshake: Client Credentials: giữa các server (machine to machine).
  • :mobile_phone: Implicit Grant: cho app di động, app SPA.
  • :key: Password Grant: khi người dùng tin tưởng ứng dụng (ít khuyến khích).

:world_map: Sơ đồ tổng quát (tưởng tượng):

[User] --login--> [App] --redirect--> [Auth Server] --approve--> [App]
                                  |
                                 access_token
                                  |
                              [Resource Server]

:backhand_index_pointing_right: Tóm lại:

Phương thức Trạng thái Bảo mật Phù hợp cho
Basic Auth Không trạng thái Thấp API đơn giản
Session+Cookie Có trạng thái Vừa Web truyền thống
JWT Không trạng thái Cao API, SPA, Mobile
SSO Trung tâm xác thực Cao Doanh nghiệp, đa miền
OAuth 2.0 Linh hoạt Rất cao Ứng dụng bên thứ ba, API