DEV Community

Đạt Trương Thành
Đạt Trương Thành

Posted on

Cookie, Session và Token-based authentication

#authentication #authorization #cookie #session

1. Phân biệt Authentication và Authorization

Rất nhiều lập trình viên mới hay nhầm lẫn hai khái niệm này:

  • Authentication (Xác thực): Ví dụ: Hành động bạn nhập Username và Password để đăng nhập vào hệ thống.

  • Authorization (Phân quyền): Ví dụ: Sau khi đăng nhập thành công, hệ thống kiểm tra xem bạn là Admin hay User thường, bạn có quyền xóa bài viết hay chỉ được xem.

2. Giao thức HTTP và vấn đề "Stateless"

  • Giao thức HTTP bản chất là Stateless. Nghĩa là server xử lý xong một request là sẽ forget luôn client đó là ai.

  • Nếu không có cơ chế lưu trữ lại trạng thái, mỗi lần bạn bấm sang một trang mới trên website, hệ thống sẽ lại bắt bạn đăng nhập lại. Để giải quyết vấn đề này, người ta sinh ra Cookie, SessionToken.

3. Cơ chế Cookie và Session

Cookie:

  • Là một đoạn dữ liệu nhỏ (khoảng vài KB) được Server yêu cầu Client (browse) lưu trữ lại ở dưới máy của người dùng.

  • Mỗi khi Client gửi một request mới lên Server, nó sẽ tự động đính kèm các Cookie này theo. Nhờ đó, Server biết được request này đến từ ai.

Session:

  • Lưu toàn bộ thông tin nhạy cảm ở phía Client (bằng Cookie) là rất nguy hiểm (dễ bị hack). Do đó, người ta sinh ra Session.

  • Cách hoạt động: Khi bạn đăng nhập thành công, Server sẽ tạo ra một vùng nhớ chứa thông tin của bạn (gọi là Session) và sinh ra một Session ID. Server chỉ gửi cái Session ID này về cho Client để lưu vào Cookie.

  • Các lần request sau, Client chỉ gửi Session ID lên. Server lấy Session ID này dò trong bộ nhớ/DB Session của mình để biết bạn là ai.

4. Token-based Authentication

  • Nhược điểm của Session: Khi hệ thống scale lên nhiều Server, Server A lưu Session của bạn nhưng Server B thì không. Nếu request của bạn bị điều hướng sang Server B, bạn sẽ bị bắt đăng nhập lại.

  • Giải pháp Token (JWT - JSON Web Token):

    • Thay vì lưu trạng thái ở Server, sau khi đăng nhập thành công, Server sẽ gom thông tin của bạn (như ID, Role), mã hóasign bằng một khóa bí mật, tạo thành một chuỗi gọi là Token.
    • Server gửi Token này cho Client lưu lại (thường lưu ở Local Storage hoặc Cookie).
    • Lần sau gửi request, Client đính kèm Token này vào Header (thường là Authorization: Bearer <token>).
    • Server không cần tìm trong bộ nhớ nữa, chỉ cần dùng khóa bí mật để giải mã và kiểm tra chữ ký của Token là biết bạn là ai và có quyền gì.

  • Ưu điểm: Cực kỳ phù hợp cho Web API, các ứng dụng Mobile, và hệ thống Microservices vì nó hoàn toàn "Stateless" (Server không cần tốn RAM để nhớ người dùng).

Top comments (0)