Giới thiệu

Trong thời đại công nghệ hiện nay, nhu cầu về xác thực người dùng an toàn và tiện lợi ngày càng cao. Một trong những vấn đề lớn mà các sản phẩm SaaS phải đối mặt là người dùng thường xuyên quên mật khẩu của họ. Điều này dẫn đến việc gia tăng số lượng yêu cầu hỗ trợ, việc đặt lại mật khẩu tiêu tốn thời gian kỹ thuật, và quy trình đăng nhập trở thành rào cản thay vì là cổng vào sản phẩm. Do đó, việc chuyển sang mô hình xác thực không mật khẩu bằng cách sử dụng mã ngắn hoặc liên kết ma thuật trở thành một giải pháp tiềm năng. Nhưng việc triển khai nó không hề đơn giản.

Nếu bạn đang phát triển ứng dụng với React, đây là những thách thức bạn sẽ phải đối mặt: nhiều biểu mẫu, các cuộc gọi không đồng bộ va chạm với các chuyển hướng, trạng thái không còn tồn tại sau khi tải lại trang, và mã bị lỗi khi người dùng chuyển đổi thiết bị. Đột nhiên, những cải tiến UX tưởng chừng đơn giản lại trở thành cơn ác mộng trong bảo trì.

Quy trình xác thực không mật khẩu thực sự trông như thế nào

Tại một mức độ cao, xác thực không mật khẩu theo một trình tự đơn giản:

• Thu thập email từ người dùng.
• Cấp phát một thông tin đăng nhập — có thể là mã một lần (OTP) hoặc liên kết ma thuật.
• Xác thực mã hoặc token khi người dùng quay lại.
• Đánh dấu phiên làm việc là đã xác thực.

Chỉ đơn giản vậy thôi. Không có việc đặt lại mật khẩu, không có các thang đo độ mạnh, không cần lưu trữ bí mật. Chỉ có các thông tin đăng nhập ngắn hạn hết hạn nhanh chóng và không thể được sử dụng lại.

Các trường hợp cần xử lý

Phần khó không phải là quy trình mà là xử lý tất cả các trường hợp ngoại lệ:

1. Người dùng nhấp vào liên kết hai lần.
2. Mã hết hạn trong khi biểu mẫu vẫn mở.
3. Chuyển hướng đến một tab khác.
4. Các phiên làm việc bị mất sau khi tải lại trang.

Nếu không có một phương pháp có cấu trúc, các nhà phát triển sẽ phải khắc phục trạng thái giữa các thành phần và hy vọng mọi thứ đều hoạt động.

Tại sao bảo mật phải được ưu tiên ở phía máy chủ

Ngay cả khi bạn nắm vững phần React, xác thực không mật khẩu chỉ hoạt động nếu máy chủ thực thi các quy tắc. Điều này có nghĩa là:

• Tạo các token được ký bằng mật mã.
• Thực thi thời gian hết hạn.
• Ngăn chặn việc tái sử dụng trên các thiết bị khác nhau.
• Đảm bảo các mã gửi lại làm vô hiệu hóa các mã cũ.

Đây không phải là điều bạn muốn rải rác trong mã frontend. Máy chủ nên chịu trách nhiệm về những đảm bảo này để khách hàng có thể tập trung vào trạng thái và UX.

Scalekit giúp đơn giản hóa quy trình này

Scalekit đảm nhận công việc nặng nề ở phía máy chủ. Nó phát hành và xác thực các token có thời gian sống ngắn, xử lý việc gửi lại một cách an toàn và đảm bảo các thông tin đăng nhập được liên kết với ngữ cảnh đúng. Bạn không bao giờ phải tiết lộ bí mật cho khách hàng, và bạn không cần phải tự phát minh ra thuật toán mật mã hay logic hết hạn.

Về phía React, bạn chỉ cần tiêu thụ quy trình đó một cách khai báo. Sử dụng SDK của Scalekit, bạn có thể:

• Thu thập email và yêu cầu một liên kết ma thuật hoặc OTP.
• Tự động xử lý các chuyển hướng và xác thực các token.
• Theo dõi trạng thái phiên làm việc qua các lần tải lại.
• Hiển thị rõ ràng trạng thái giao diện người dùng cho việc gửi, xác thực, thành công hoặc lỗi.

Thay vì phải xử lý thời gian và chuyển hướng bằng tay, các thành phần của bạn sẽ giữ được sự tập trung: một thành phần xử lý đầu vào email, một thành phần khác xử lý nhập mã, và ngữ cảnh toàn cầu theo dõi xem người dùng đã được xác thực hay chưa.

Kết luận

Xác thực không mật khẩu giúp loại bỏ một trong những nguồn gây khó khăn lớn nhất cho người dùng, nhưng chỉ khi nó được triển khai với cả bảo mật và sự hợp lý cho nhà phát triển. Bằng cách phân chia trách nhiệm — React cho trạng thái và UX, Scalekit cho bảo mật token — bạn có được một hệ thống an toàn theo mặc định và có thể tái sử dụng trong các dự án khác nhau.

Nếu bạn sẵn sàng từ bỏ việc đặt lại mật khẩu dễ bị hỏng và chuyển sang một giải pháp mà người dùng thực sự yêu thích, hãy xem hướng dẫn và ví dụ hoạt động đầy đủ tại đây: Xác thực không mật khẩu trong React với Scalekit.