Các luồng OAuth 2.0 | Tinh giản quy trình ủy quyền người dùng

Trong thế giới số hiện nay, các ứng dụng thường cần truy cập dữ liệu người dùng trên các nền tảng khác, như mạng xã hội hoặc lưu trữ đám mây. Theo truyền thống, điều này có nghĩa là người dùng phải nhập lại thông tin đăng nhập cho từng dịch vụ, gây ra mối lo ngại về an ninh và tạo ra trải nghiệm không mượt mà. Các luồng OAuth 2.0 cung cấp một giải pháp an toàn và hợp lý hơn. Bài viết này khám phá các luồng OAuth khác nhau và giúp bạn chọn luồng phù hợp cho ứng dụng của bạn.

💡

Nhanh chóng cung cấp mức độ bảo mật cần thiết mà API của bạn cần có với sự trợ giúp của Apidog. Apidog là giải pháp một cửa cho tất cả vấn đề API của bạn; bạn có thể nhanh chóng chọn xác thực OAuth 2.0 hoặc bất kỳ loại xác thực nào khác cho API của bạn.

Nếu bạn muốn tìm hiểu thêm về Apidog, hãy thử nghiệm miễn phí hôm nay bằng cách nhấn vào liên kết dưới đây! 👇

button

Luồng OAuth 2.0 là gì?

OAuth 2.0 định nghĩa một tập hợp các quy trình chuẩn hóa được gọi là luồng. Các luồng OAuth 2.0 cho phép các ứng dụng có được quyền truy cập hạn chế vào tài khoản người dùng trên dịch vụ HTTP bằng cách ủy quyền xác thực người dùng cho dịch vụ lưu giữ tài khoản người dùng, tránh việc chia sẻ thông tin đăng nhập trực tiếp giữa ứng dụng và dịch vụ.

Các thực thể chính liên quan đến các luồng OAuth 2.0

Chủ sở hữu tài nguyên (RO): Đây là người dùng cuối. Họ là người sở hữu dữ liệu tài khoản và cấp quyền truy cập vào thông tin của họ trên một nền tảng cụ thể. Ví dụ, bạn có thể là chủ sở hữu tài nguyên nếu bạn cấp quyền cho một ứng dụng mới truy cập vào hình ảnh của bạn trên Facebook.
Khách hàng (C): Đây là ứng dụng yêu cầu truy cập vào dữ liệu của người dùng. Nó có thể là một ứng dụng di động, một trang web, hoặc thậm chí là một dịch vụ backend khác. Khách hàng không lưu trữ trực tiếp thông tin đăng nhập của người dùng; thay vào đó, nó dựa vào các token thu được thông qua luồng OAuth.
Máy chủ ủy quyền (AS): Máy chủ này chịu trách nhiệm xác thực chủ sở hữu tài nguyên (thường bằng cách yêu cầu họ đăng nhập) và phát hành các token truy cập. Nó hoạt động như một bên thứ ba đáng tin cậy trong quá trình ủy quyền. Máy chủ ủy quyền thường được kiểm soát bởi nền tảng nơi tài khoản người dùng tồn tại (ví dụ: Facebook, Google).
Máy chủ tài nguyên (RS): Máy chủ này giữ các tài nguyên bảo vệ mà khách hàng muốn truy cập. Những tài nguyên này có thể là bất kỳ thứ gì từ album ảnh của người dùng đến danh sách liên hệ hoặc thậm chí là tài liệu riêng tư. Máy chủ tài nguyên xác nhận các token truy cập được cấp bởi máy chủ ủy quyền trước khi cấp quyền truy cập vào các tài nguyên được yêu cầu.

Các loại luồng OAuth 2.0

Luồng Mã Ủy Quyền (An toàn nhất)

Các bước

Một người dùng tương tác với ứng dụng khách và khởi động quá trình ủy quyền.
Khách hàng chuyển hướng người dùng đến trang đăng nhập của máy chủ ủy quyền.
Người dùng đăng nhập và cấp quyền truy cập vào các tài nguyên được yêu cầu (phạm vi).
Máy chủ ủy quyền chuyển hướng người dùng trở lại khách hàng với một mã ủy quyền.
Khách hàng gửi mã ủy quyền và thông tin đăng nhập của khách hàng đến máy chủ ủy quyền để yêu cầu một token truy cập và (tùy chọn) một token làm mới.
Máy chủ ủy quyền xác nhận mã và thông tin đăng nhập, sau đó phát hành các token truy cập và làm mới.
Cuối cùng, khách hàng sử dụng token truy cập để truy cập vào các tài nguyên bảo vệ trên máy chủ tài nguyên.

Lợi ích:

Luồng an toàn nhất nhờ vào sự tách biệt giữa mã ủy quyền và việc đổi token truy cập.
Token làm mới cho phép nhận được token truy cập mới mà không cần người dùng ủy quyền lại.

Nhược điểm:

Luồng phức tạp hơn với nhiều lần chuyển hướng.
Không lý tưởng cho các ứng dụng di động gốc do sự tương tác hạn chế với trình duyệt.

Các yếu tố quan trọng cần xem xét khi chọn một luồng OAuth 2.0

1. Yêu cầu bảo mật:

Đây là ưu tiên hàng đầu. Hãy xem xét độ nhạy cảm của dữ liệu mà ứng dụng của bạn cần truy cập.

Đối với các tình huống bảo mật cao: Chọn Luồng Mã Ủy Quyền. Nó cung cấp sự bảo vệ tốt nhất bằng cách tách biệt thông tin đăng nhập người dùng khỏi việc đổi mã ủy quyền và token truy cập. Token làm mới cung cấp một cách an toàn để có được các token truy cập mới mà không yêu cầu người dùng phải ủy quyền lại mỗi lần.
Đối với dữ liệu ít nhạy cảm hơn: Bạn có thể xem xét Luồng Ngầm để nó đơn giản. Tuy nhiên, hãy cẩn thận, vì các token truy cập có thể bị lộ trong phần URL, làm cho chúng ít an toàn hơn. Luồng này không được khuyến nghị cho dữ liệu bí mật hoặc quyền truy cập lâu dài.
Luồng Thông tin xác thực Khách hàng chỉ nên được sử dụng cho ủy quyền giữa máy và máy với nhu cầu truy cập hạn chế, vì nó hoàn toàn bỏ qua sự tham gia của người dùng.

2. Loại ứng dụng:

Loại ứng dụng bạn đang xây dựng sẽ ảnh hưởng đến luồng phù hợp.

Ứng dụng Web: Những ứng dụng này thường có sự tương tác tốt với trình duyệt và có thể tận dụng hiệu quả Luồng Mã Ủy Quyền.
Ứng dụng di động và Ứng dụng một trang (SPAs): Khả năng trình duyệt hạn chế có thể làm cho Luồng Mã Ủy Quyền trở nên khó khăn. Hãy xem xét Luồng Ngầm vì tính đơn giản của nó, nhưng hãy cẩn thận với các đánh đổi về bảo mật. Các phương pháp kết hợp các tính năng của các luồng khác nhau cũng có thể là một lựa chọn cho các ứng dụng di động.
Dịch vụ Backend: Luồng Thông tin xác thực Khách hàng có thể phù hợp cho việc giao tiếp giữa máy và máy giữa các dịch vụ backend.

3. Hành động của người dùng:

Mức độ tương tác của người dùng có sẵn trong ứng dụng của bạn sẽ ảnh hưởng đến việc lựa chọn luồng.

Luồng Mã Ủy Quyền và Luồng Mật khẩu đều yêu cầu sự tương tác của người dùng cho ủy quyền.
Luồng Ngầm có thể hoạt động với sự tương tác tối thiểu của người dùng ở phía khách hàng.
Luồng Thông tin xác thực Khách hàng hoàn toàn bỏ qua sự tương tác của người dùng vì nó giả định giao tiếp giữa máy và máy.

4. Các cân nhắc bổ sung:

Quyền truy cập lâu dài: Nếu ứng dụng của bạn cần quyền truy cập kéo dài vào dữ liệu người dùng, hãy chọn một luồng cung cấp các token làm mới (Luồng Mã Ủy Quyền).
Chính sách Máy chủ Ủy quyền: Các máy chủ ủy quyền khác nhau có thể có các hạn chế hoặc biến thể về các luồng được hỗ trợ. Hãy chắc chắn tham khảo tài liệu của họ.

Áp dụng OAuth 2.0 cho API của bạn để tăng cường bảo mật

Thực hiện một hình thức xác thực là nhu cầu cơ bản mà mỗi API nên có, đặc biệt nếu API có trách nhiệm xử lý dữ liệu nhạy cảm hoặc riêng tư. Do đó, các nhà phát triển cần có một công cụ API sẵn sàng để xây dựng, thay đổi và tài liệu hóa các API. May mắn thay, đã có một công cụ phát triển API cung cấp cho người dùng tất cả các chức năng đã đề cập trước đó - Apidog.

button

Cài đặt Xác thực API trên Apidog

Với Apidog, bạn có thể chỉnh sửa các phương pháp xác thực của các API cụ thể. Có một số lựa chọn để bạn lựa chọn. Để truy cập vào phần này của Apidog, trước tiên bạn cần:

Chọn một API.
Nhấn vào tiêu đề Chỉnh sửa.
Cuộn xuống phần Yêu cầu.
Nhấn vào tiêu đề Xác thực.
Cuối cùng, chọn loại Loại xác thực mà bạn thích. Nếu bạn muốn thiết lập xác thực OAuth 2.0, thì bạn có thể chọn loại đó.

Ví dụ về việc sử dụng OAuth 2.0 với Apidog và Spotify API

Hãy cùng xem cách chúng ta có thể áp dụng xác thực OAuth 2.0 trên Spotify API bằng cách tạo một yêu cầu mới!

Sau khi tạo một yêu cầu mới, hãy chọn loại xác thực OAuth 2.0, như đã thấy trong hình trên.

Khi bạn đã chọn OAuth 2.0 làm loại xác thực của mình, hãy tiếp tục điền vào các chi tiết cần thiết, và hoàn thành các bước xác thực bổ sung xuất hiện trên cửa sổ bật lên. Bạn sẽ thấy token của mình trên Apidog!

button

Kiểm tra các điểm cuối API bằng Apidog

Sau mỗi thay đổi được thực hiện trong giai đoạn phát triển API, chúng ta cần đảm bảo rằng API vẫn hoạt động như mong đợi. Với Apidog, bạn có thể kiểm tra từng điểm cuối của API.

Để nhắm đúng điểm cuối API, trước tiên bạn phải chèn điểm cuối API tương ứng mà bạn muốn kiểm tra. Khi bạn đã đưa URL API dự định, hãy bao gồm các tham số mà bạn muốn sử dụng cho điểm cuối (nếu có).

Nếu bạn vẫn không hoàn toàn tự tin về cách kiểm tra một điểm cuối API, hãy đọc bài viết này!

Kết luận

Các luồng OAuth 2.0 cung cấp một cách tiếp cận an toàn và chuẩn hóa cho việc ủy quyền người dùng trên các nền tảng khác nhau. Bằng cách hiểu các luồng khác nhau và các đánh đổi của chúng, các nhà phát triển có thể chọn lựa chọn phù hợp nhất cho nhu cầu của ứng dụng của họ. Điều này đảm bảo sự cân bằng giữa bảo mật, trải nghiệm người dùng và chức năng của ứng dụng.

Nếu bạn muốn sử dụng OAuth 2.0 và mong muốn triển khai xác thực của nó cho các ứng dụng hoặc chương trình của bạn, bạn luôn có thể tham khảo tài liệu chính thức về OAuth 2.0 và khám phá các tài nguyên do các máy chủ ủy quyền phổ biến mà bạn dự định tích hợp cung cấp. Các tài nguyên này có thể cung cấp thêm thông tin chi tiết và các thực tiễn tốt nhất dành riêng cho nền tảng của họ.