KUNGFU TECH

0
0
Lập trình
Flame Kris
Flame Krisbacodekiller

Mã thông báo xác thực: Chìa khóa số của bạn 🎫

Đăng vào 3 tuần trước

• 7 phút đọc

Chủ đề:

#webdev#authentication#jwt#tokens

Giới thiệu

Trong thế giới kết nối ngày nay, chúng ta đều muốn truy cập các ứng dụng và trang web yêu thích mà không cần nhập lại mật khẩu mỗi lần. Đó chính là lý do mà mã thông báo xác thực (authentication tokens) xuất hiện. Hãy tưởng tượng chúng như một chiếc chìa khóa số VIP. Khi bạn đăng nhập bằng tên người dùng và mật khẩu, máy chủ sẽ kiểm tra thông tin xác thực của bạn và, nếu mọi thứ đều ổn, sẽ cấp cho bạn một mã thông báo đặc biệt. Thay vì gửi mật khẩu của mình với mỗi yêu cầu, ứng dụng của bạn sẽ gửi mã thông báo này. Máy chủ sẽ sử dụng mã thông báo để xác nhận rằng bạn vẫn là chính bạn, và bạn có thể truy cập tất cả những nội dung thú vị mà bạn được phép.

Cách hoạt động: Quy trình cơ bản

Quy trình cơ bản rất đơn giản:

  1. Đăng nhập: Bạn nhập tên người dùng và mật khẩu trên màn hình đăng nhập của ứng dụng.
  2. Xác minh: Ứng dụng gửi thông tin xác thực của bạn đến máy chủ để xác minh.
  3. Tạo mã thông báo: Nếu thông tin xác thực của bạn đúng, máy chủ sẽ tạo ra một mã thông báo xác thực độc nhất.
  4. Nhận mã thông báo: Máy chủ gửi mã thông báo này trở lại ứng dụng của bạn, ứng dụng sẽ lưu trữ nó, thường là trong cookie hoặc local storage.
  5. Truy cập: Từ bây giờ, khi bạn cần truy cập một tài nguyên bảo vệ, như trang hồ sơ hoặc giỏ hàng, ứng dụng sẽ bao gồm mã thông báo trong tiêu đề yêu cầu.
  6. Xác thực mã thông báo: Máy chủ nhận yêu cầu, xác thực mã thông báo và cấp quyền truy cập nếu nó hợp lệ.

Hệ thống này rất tuyệt vời cho khả năng mở rộng vì máy chủ không cần nhớ ai đang đăng nhập. Điều này làm cho máy chủ không trạng thái (stateless), một lợi thế lớn cho hiệu suất và xây dựng kiến trúc microservice.

Các loại mã thông báo bạn sẽ gặp

Có một vài loại mã thông báo khác nhau, mỗi loại có ưu và nhược điểm riêng.

1. JSON Web Tokens (JWT)

JWT (đọc là "jot") là một loại mã thông báo phổ biến và tự chứa. Điều này có nghĩa là tất cả thông tin cần thiết về người dùng đều ở bên trong mã thông báo. Một JWT được cấu thành từ ba phần, phân cách bằng dấu chấm:

  • Header: Mô tả loại mã thông báo và thuật toán ký.
  • Payload: Chứa các "claims," là các tuyên bố về người dùng và mã thông báo. Đây là nơi bạn sẽ tìm thấy ID người dùng, vai trò, và ngày hết hạn của mã thông báo.
  • Signature: Một chữ ký duy nhất được tạo ra bằng cách sử dụng một khóa bí mật. Đây là điều mà máy chủ sử dụng để xác minh rằng mã thông báo chưa bị thay đổi.

Vì một JWT chứa tất cả thông tin mà máy chủ cần biết, máy chủ không cần thực hiện tra cứu cơ sở dữ liệu cho mỗi yêu cầu. Điều này khiến chúng rất nhanh và hiệu quả.

Dưới đây là một ví dụ nhanh bằng Python sử dụng thư viện PyJWT để tạo một JWT:

python Copy 
import jwt
import datetime

payload_data = {
    'sub': '1234567890',
    'name': 'Nguyễn Văn A',
    'iat': datetime.datetime.now(datetime.timezone.utc),
    'exp': datetime.datetime.now(datetime.timezone.utc) + datetime.timedelta(minutes=30)
}

secret_key = 'khóa_bí_mật_của_bạn' # Trong ứng dụng thực tế, hãy sử dụng biến môi trường!

token = jwt.encode(payload_data, secret_key, algorithm='HS256')

print(token)

Bạn có thể giải mã và xác thực mã thông báo này ở phía máy chủ để lấy dữ liệu payload.

2. Opaque Tokens

Khác với JWT, mã thông báo opaque chỉ là những chuỗi ký tự ngẫu nhiên. Khách hàng không thể đọc bất kỳ thông tin nào từ chúng. Chúng thực chất là một tham chiếu đến một bản ghi được lưu trữ trong cơ sở dữ liệu của máy chủ. Khi máy chủ nhận được một mã thông báo opaque, nó phải truy cập cơ sở dữ liệu để tra cứu mã thông báo và lấy dữ liệu người dùng và quyền hạn liên quan.

Ưu và nhược điểm:

  • JWT: Nhanh chóng, khả năng mở rộng và không cần tra cứu cơ sở dữ liệu. Nhược điểm là một khi đã phát hành, chúng không thể dễ dàng thu hồi trước khi hết hạn.
  • Opaque Tokens: An toàn hơn vì không có thông tin nào bị lộ ra cho khách hàng. Chúng cũng dễ dàng bị thu hồi. Tuy nhiên, nhược điểm là chúng yêu cầu tra cứu cơ sở dữ liệu cho mỗi yêu cầu, điều này có thể làm tăng tải.

3. Hybrid Tokens

Một mẫu phổ biến và an toàn là sử dụng cách tiếp cận lai. Điều này kết hợp những lợi ích tốt nhất của cả hai thế giới. Bạn thường thấy điều này với OAuth 2.0:

  • Mã thông báo truy cập ngắn hạn: Đây là một JWT, được sử dụng để truy cập tài nguyên. Nó hợp lệ trong một khoảng thời gian ngắn (ví dụ: 15 phút), vì vậy nếu bị đánh cắp, kẻ tấn công không có nhiều thời gian để sử dụng nó.
  • Mã thông báo làm mới dài hạn: Đây là một mã thông báo opaque, được sử dụng để nhận mã thông báo truy cập mới khi mã thông báo cũ hết hạn. Nó được lưu trữ một cách an toàn và có thể bị thu hồi bởi máy chủ nếu cần. Điều này ngăn người dùng phải đăng nhập lại mỗi 15 phút.

Cách tiếp cận này cân bằng lợi ích hiệu suất của JWT với tính an toàn và khả năng thu hồi của mã thông báo opaque.

Thực tiễn tốt nhất

Để sử dụng mã thông báo xác thực hiệu quả, hãy xem xét các thực tiễn tốt nhất sau:

  • Bảo vệ khóa bí mật: Đảm bảo rằng khóa bí mật của bạn không bị lộ ra ngoài hoặc lưu trữ trong mã nguồn.
  • Thường xuyên cập nhật mã thông báo: Đặt thời gian hết hạn cho mã thông báo và thường xuyên làm mới chúng để giảm thiểu rủi ro.
  • Sử dụng HTTPS: Đảm bảo rằng tất cả các yêu cầu được thực hiện qua HTTPS để bảo vệ mã thông báo khỏi việc bị đánh cắp.

Các cạm bẫy phổ biến

Khi làm việc với mã thông báo xác thực, có một số cạm bẫy mà bạn nên tránh:

  • Lưu trữ mã thông báo không an toàn: Tránh lưu trữ mã thông báo trong local storage nếu không có các biện pháp bảo mật bổ sung.
  • Không kiểm tra mã thông báo: Đảm bảo luôn kiểm tra mã thông báo trên máy chủ trước khi cấp quyền truy cập.

Mẹo hiệu suất

Để tối ưu hóa hiệu suất khi sử dụng mã thông báo xác thực:

  • Sử dụng cache: Lưu trữ các thông tin xác thực tạm thời để giảm thiểu số lần truy cập cơ sở dữ liệu.
  • Tối ưu hóa kích thước của mã thông báo: Giữ cho mã thông báo nhỏ gọn bằng cách chỉ bao gồm thông tin cần thiết.

Giải quyết sự cố

Nếu bạn gặp phải vấn đề với mã thông báo xác thực, một số bước khắc phục sự cố có thể giúp bạn:

  1. Kiểm tra thời gian hết hạn của mã thông báo: Đảm bảo mã thông báo chưa hết hạn.
  2. Xác minh khóa bí mật: Đảm bảo rằng khóa bí mật được sử dụng để ký mã thông báo là chính xác.
  3. Kiểm tra quyền truy cập: Đảm bảo người dùng có quyền truy cập vào tài nguyên mà họ đang cố gắng truy cập.

Kết luận: Bạn nên sử dụng loại nào?

Lựa chọn loại mã thông báo phụ thuộc vào nhu cầu của ứng dụng của bạn. Đối với một ứng dụng đơn giản nơi bạn muốn giữ mọi thứ nhanh chóng và không trạng thái, một JWT có thể là sự lựa chọn hoàn hảo. Đối với một hệ thống yêu cầu mức độ bảo mật cao và kiểm soát chi tiết về việc thu hồi mã thông báo, một mô hình lai thường là con đường tốt nhất. Dù bạn chọn loại nào, việc hiểu cách chúng hoạt động là một kỹ năng quan trọng cho bất kỳ nhà phát triển nào đang xây dựng các ứng dụng an toàn và có khả năng mở rộng. 💻🔒

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào