OAuth2 được hình thành như một giải pháp mang đến sự hiệu quả trong cách cung cấp quyền truy cập hoặc được ủy quyền mà không gây ra những tác động hay rủi ro đến dữ liệu người dùng. Vậy OAuth2 là gì?
OAuth2 là gì?
OAuth2 là khung cung cấp hoặc ủy quyền, thường được sử dụng cho các trang web và ứng dụng web, yêu cầu quyền truy cập hạn chế vào tài khoản của người dùng trên một ứng dụng khác. OAuth2 cho phép người dùng cấp quyền truy cập mà không để lộ thông tin đăng nhập vào ứng dụng yêu cầu.
OAuth2 ban đầu được phát triển như một cách chia sẻ quyền truy cập vào dữ liệu cụ thể giữa các ứng dụng, hoạt động bằng cách xác định một loạt các tương tác ba bên riêng biệt là Client, Resource Owner và nhà cung cấp dịch vụ.
OAuth2 hoạt động như thế nào?
- Bước 1: Client yêu cầu quyền truy cập vào một tập hợp dữ liệu của người dùng, chỉ định các loại cấp quyền và các quyền truy cập họ muốn sử dụng.
- Bước 2: Người dùng được nhắc đăng nhập vào OAuth2 và đồng ý đối với các quyền truy cập được yêu cầu.
- Bước 3: Client nhận được mã thông báo truy cập duy nhất, chứng minh họ được người dùng cho phép truy cập vào các dữ liệu được yêu cầu. Cách thức này sẽ xảy ra những thay đổi, tùy thuộc vào các loại cấp quyền.
- Bước 4: Client sử dụng mã thông báo truy cập để thực hiện các lệnh gọi và tìm nạp các dữ liệu có liên quan từ máy chủ tài nguyên.
OAuth2 bao gồm những những yếu tố gì?
Client (máy khách)
Client hay còn được gọi là ứng dụng, có thể ứng dụng chạy trên thiết bị di động hoặc một ứng dụng web truyền thống. Client thay mặt Resource Owner yêu cầu máy chủ tài nguyên được bảo vệ. Resource Owner phải cấp cho Client quyền truy cập vào các tài nguyên được bảo vệ.
Resource Owner
Resource Owner hay còn gọi là người dùng cuối, đây là người có khả năng cấp quyền truy cập vào tài nguyên đã được bảo vệ.
Máy chủ tài nguyên
Apigee Edge là một máy chủ tài nguyên được sử dụng bất cứ khi nào cần xác thực mã thông báo OAuth2 để xử lý các yêu cầu API. Máy chủ tài nguyên cần một số loại ủy quyền trước khi cung cấp các tài nguyên bảo vệ cho ứng dụng.
Máy chủ ủy quyền
Máy chủ ủy quyền được triển khai tuân theo đặc điểm kỹ thuật OAuth2, chịu trách nhiệm xác thực việc cấp ủy quyền và cấp mã thông báo để ứng dụng truy cập vào dữ liệu của người dùng trên máy chủ tài nguyên.
Cấp quyền
Cấp cho ứng dụng quyền truy xuất mã thông báo thay cho người dùng cuối.
Mã thông báo
Một chuỗi ký tự dài đóng vai trò là thông tin xác thực được sử dụng để truy cập các tài nguyên được bảo vệ. Ngoài ra, mã thông báo có thể được thiết lập với một số hạn chế, chẳng hạn như ứng dụng có thể đọc không thể chỉnh sửa hoặc xóa dữ liệu trên máy chủ tài nguyên.
Tài nguyên được bảo vệ
Các dữ liệu thuộc quyền quản lý của chủ sở hữu tài nguyên. Ví dụ, danh sách liên hệ, thông tin tài khoản, thông tin người dùng,…
OAuth2 có những ưu điểm và hạn chế như thế nào?
Ưu điểm
- Quyền truy cập vào các tài nguyên được thực hiện thông qua HTTP và HTTPS với mã thông báo được chỉ ra trong headers. Điều này cho phép bạn sử dụng OAuth2 trong hầu hết mọi giải pháp.
- Khả năng ủy quyền cho người dùng tiêu chuẩn, được phân loại theo các luồng.
- OAuth2 được sử dụng rất phổ biến, đa số các doanh nghiệp đều sử dụng trong API của họ.
- OAuth2 được sử dụng dựa trên SSL để đảm bảo các giao thức bảo mật mang lại bảo mật an toàn cho dữ liệu.
- Cho phép truy cập hạn chế vào dữ liệu người dùng và một số trường hợp truy cập khi mã thông báo ủy quyền hết hạn.
- Tính sẵn có của các giải pháp đã được thiết lập sẵn có thể thay đổi linh hoạt dựa trên yêu cầu của bạn.
Hạn chế
- Nếu thêm nhiều tiện ích mở rộng ở thông số kỹ thuật, bạn sẽ gặp phải một số triển khai không thể tương tác, đồng nghĩa với việc bạn phải cần có đoạn mã riêng biệt cho các trường hợp cần thiết.
- Trong trường hợp trang web của bạn kết nối với một trung tâm dữ liệu, khi trung tâm dữ liệu bị tấn công, điều này sẽ gây ra những ảnh hưởng nghiêm trọng đến trang web của bạn.
- Không có định dạng chung, mỗi cài đặt đều yêu cầu cách thiết lập triển khai riêng biệt.
OAuth2 cung cấp các luồng như thế nào?
Luồng (còn gọi là các loại cấp quyền) là quá trình một Client API thực hiện để lấy mã truy cập từ máy chủ uy quyền. OAuth2 cung cấp một số luồng phù hợp với các Client như: Mã ủy quyền, ngầm định, thông tin đăng nhập của Resource và thông tin xác thực Client.
Mã ủy quyền
Luồng phổ biến nhất, chủ yếu được sử dụng cho các ứng dụng web. Quy trình này tương tự như cách người dùng đăng ký vào một ứng dụng web bằng tài khoản một nền tảng khác, chẳng hạn như Google, Facebook,…
Ngầm định
Luồng này yêu cầu Client truy xuất trực tiếp mã thông báo truy cập. Điều này sẽ hữu ích trong một số trường hợp thông tin đăng nhập của người dùng không thể lưu trữ ở Client, chúng có thể bị bên thứ ba truy cập dễ dàng vào.
Thông tin đăng nhập của Resource Owner
Luồng này yêu cầu đăng nhập với tên người dùng và mật khẩu đã đăng ký. Vì trong trường hợp đó, thông tin đăng nhập là một phần của yêu cầu, quy trình này chỉ phù hợp với các ứng dụng đáng tin cậy.
Thông tin xác thực Client
Đây là luồng dành cho việc xác thực từ máy chủ đến máy chủ, quy trình mô tả cách tiếp cận khi Client tự hoạt động thay cho bất kỳ người dùng cá nhân nào. Luồng này cho phép người dùng chỉ định thông tin xác thực của họ trong Client và có thể truy cập các tài nguyên dưới sự kiểm soát của Client.
OAuth2 là một giải pháp đơn giản dựa trên HTTP, giúp bạn có thể sử dụng trên mọi nền tảng. Vì vậy, bạn hoàn toàn có thể đặt niềm tin vào OAuth2 trong các dự án của mình. Hy vọng bài viết sẽ cung cấp cho bạn thêm một số kiến thức hữu ích về OAuth2. Chúc bạn có những lựa chọn tốt nhất, phù hợp với nhu cầu của mình trong tương lai.
Một số câu hỏi liên quan đến OAuth2
Enterprise OAuth2 được sử dụng như thế nào?
OAuth2 thực hiện việc tách các quyết định về chính sách ủy quyền ra khỏi xác thực, cho phép pha trộn giữa các dạng ủy quyền. Đây cũng là một tuyệt vời để hạn chế và thu hồi quyền khi xây dựng các ứng dụng có thể truy cập các API cụ thể. Enterprise OAuth2 đảm bảo chỉ các thiết bị được quản lý hoặc tuân thủ mới có thể truy cập các API cụ thể. Chúng có tích hợp với quy trình hủy cấp phép danh tính để thu hồi tất cả các mã thông báo từ người dùng hoặc thiết bị.
Mở rộng OAuth2 như thế nào?
Khi được sử dụng để xác thực, OAuth2 thường được mở rộng với một lớp OpenID Connect, lớp này cung cấp một số tính năng bổ sung liên quan đến việc xác định và xác thực người dùng.
Có thể đăng ký không cần xác minh không?
Một số trang web cung cấp dịch vụ OAuth2 cho phép người dùng đăng ký tài khoản mà không cần xác minh tất cả thông tin chi tiết, bao gồm cả địa chỉ email, số điện thoại của họ trong một số trường hợp. Đây có thể là những lỗ hổng để những kẻ tấn công lợi dụng để truy cập vào hệ thống dữ liệu của trang web.
Mã thông báo khác khóa API như thế nào?
Sự khác biệt giữa khóa API và mã thông báo là khóa API phải là khóa hợp lệ, dành cho nhà phát triển Apigee Edge được liên kết với Proxy API. Khi bạn cần thu hồi quyền cho Client, bạn cần thu hồi khóa người dùng đó, bất kỳ ứng Client nào sử dụng khóa đó cũng không thể truy cập proxy API. Mặt khác, mã thông báo OAuth2 có thể thu hồi bất kỳ lúc nào mà không cần thu hồi khóa của ứng dụng.