Xác thực và phân quyền người dùng trên hệ thống web

 HTML sẽ tự động thêm một dòng trắng trước và sau mỗi heading.

Thẻ được sử dụng để tạo ra một lần xuống dòng trong văn bản mà không cần bắt đầu một đoạn văn mới, giúp bạn quản lý định dạng nội dung một cách linh hoạt hơn.

Đây là một đoạn văn với thẻ xuống hàng

 Thẻ là một thẻ trống, nó không cần thẻ đóng dạng

Thẻ chú thích trong HTML cho phép bạn thêm ghi chú vào mã nguồn, giúp giải thích và ghi nhớ các phần của code Những dòng chú thích này sẽ không được trình duyệt hiển thị, nên bạn có thể dễ dàng quay lại chỉnh sửa mà không bị rối.

 Bạn cần một dấu chấm than ! ngay sau dấu nhỏ hơn nhưng không cần ở dấu lớn hơn.

 Những thẻ HTML cơ bản:

Xác định một văn bản dạng HTML

Xác định phần thân của tài liệu

to Xác định header từ 1 đến 6

Xác định một đoạn văn

Chèn một dòng trắng

Xác định một đường thẳng

Xác định vùng chú thích

Javascript

JavaScript là một ngôn ngữ lập trình thông dịch, thường được nhúng hoặc tích hợp vào các tệp HTML Khi tệp HTML được tải trong trình duyệt hỗ trợ JavaScript, trình duyệt sẽ thông dịch các script và thực hiện các tác vụ đã xác định Mã nguồn JavaScript được thông dịch sau khi toàn bộ trang HTML được tải xong nhưng trước khi trang được hiển thị.

B Khai báo sử dụng Javascript trong HTML

 Sử dụng các câu lệnh và các hàm trong cặp thẻ

 Script được đa vào file HTML bằng cách sử dụng cặp thẻ và

Các thẻ có thể xuất hiện trong phần hay

của file HTML Nếu đặt trong phần , nó sẽ được tải và sẵn sàng trước khi phần còn lại của văn bản được tải.

 Thuộc tính duy nhất được định nghĩa hiện thời cho thẻ là

Thẻ LANGUAGE=" được sử dụng để xác định ngôn ngữ của script, với hai giá trị chính là "JavaScript" và "VBScript" Đối với chương trình viết bằng JavaScript, cú pháp sử dụng như sau:

Cú pháp ghi chú trong HTML và JavaScript có sự khác biệt, cho phép ẩn mã JavaScript trong ghi chú của file HTML Điều này giúp các trình duyệt cũ không hỗ trợ JavaScript vẫn có thể đọc được nội dung, như trong ví dụ sau đây.

// This is where the hidden ends >

Dòng cuối cùng của script cần có dấu // để ngăn trình duyệt diễn dịch nó như mã JavaScript Các ví dụ trong chương này không chứa đặc điểm ẩn của JavaScript nhằm giúp mã trở nên dễ hiểu hơn.

Sử dụng thuộc tính SRC trong thẻ giúp chỉ định file nguồn JavaScript, mang lại lợi ích hơn so với việc nhúng trực tiếp mã JavaScript vào trang HTML.

Thuộc tính này rất hữu ích cho việc chia sẻ các hàm giữa nhiều trang khác nhau Các câu lệnh JavaScript được đặt trong cặp thẻ và , thường có thuộc tính SRC trừ khi xảy ra lỗi Ví dụ, bạn có thể chèn dòng lệnh sau vào giữa cặp thẻ và : document.write("Không tìm thấy file JS đa vào!");

 Thuộc tính SRC có thể được định rõ bằng địa chỉ URL, các liên kết hoặc các đường dẫn tuyệt đối, ví dụ:

 Các file JavaScript bên ngoài không được chứa bất kỳ thẻ HTML nào. Chúng chỉ được chứa các câu lệnh JavaScript và định nghĩa hàm.

Để sử dụng các hàm JavaScript bên ngoài, tên file cần có đuôi js và server phải ánh xạ đuôi này tới kiểu MIME application/x-javascript Điều này được thực hiện thông qua phần Header của file HTML Để thực hiện ánh xạ đuôi js vào kiểu MIME, bạn cần thêm dòng "type=application/x-javascript" vào file mime.types trong cấu hình của server và khởi động lại server.

If the server fails to map the js extension to the MIME type application/x-javascript, the Navigator will incorrectly load the specified JavaScript file in the SRC attribute For example, the function 'bar' contains the string "left" within double quotes: function bar(widthPct){ document.write("")}.

 Sử dụng một biểu thức JavaScript làm giá trị của một thuộc tính HTML

 Sử dụng thẻ sự kiện (event handlers) trong một thẻ HTML nào đó

C Các lệnh cơ bản trong javascript

LỆNH/MỞ RỘNG KIỂU MÔ TẢ

SCRIPT thẻ HTML Hộp chứa các lệnh JavaScript

SRC Thuộc tính của thẻ SCRIPT

Giữ địa chỉ của file JavaScript bên ngoài. File này phải có phần đuôi js

LANGUAGE thuộc tính của thẻ SCRIPT Định rõ ngôn ngữ script được sử dụng (JavaScript hoặc VBScript)

JavaScript Đánh dấu ghi chú một dòng trong đoạn script

JavaScript Đánh dấu ghi chú một khối trong đoạn script document.write() cách thức

Xuất ra một xâu trên cửa sổ hiện thời một cách tuần tự theo file HTML có đoạn script đó document.writeln() Cách thức

Tương tự cách thức document.write() nhưng viết xong tự xuống dòng. alert() Cách thức của

Hiển thị một dòng thông báo trên hộp hội thoại promt() Cách thức

Hiển thị một dòng thông báo trong hộp hội thoại đồng thời cung cấp một trường nhập dữ liệu để người sử dụng nhập vào.

D Các đối tượng trong javascript

Sơ đồ minh hoạ sự phân cấp của các đối tượng javascript

Trong sơ đồ phân cấp, các đối tượng con thể hiện các thuộc tính của đối tượng cha Chẳng hạn, form1 là một đối tượng con của đối tượng document và được truy cập qua cú pháp document.form1.

 Tất cả các trang đều có các đối tượng sau đây:

Navigator chứa thông tin về tên và phiên bản của trình duyệt đang sử dụng, đồng thời hỗ trợ xác định các loại MIME mà client có thể xử lý cũng như các plug-in đã được cài đặt trên client.

 window: là đối tượng ở mức cao nhất, có các thuộc tính thực hiện áp dụng vào toàn bộ cửa sổ.

 document: chứa các thuộc tính dựa trên nội dung của document nh tên, màu nền, các kết nối và các forms.

 location: có các thuộc tính dựa trên địa chỉ URL hiện thời

 history: Chứa các thuộc tính về các URL mà client yêu cầu trước đó.

CSS

CSS, viết tắt của Cascading Style Sheets, là ngôn ngữ dùng để định nghĩa cách hiển thị các tài liệu HTML Bằng cách sử dụng CSS, người dùng có thể điều chỉnh màu sắc, kiểu chữ và cách trình bày các thành phần trên trang web một cách linh hoạt và hiệu quả.

CSS được phát triển nhằm tách biệt nội dung HTML khỏi phần trình bày CSS, giúp nâng cao khả năng truy xuất, tăng tính linh hoạt và đơn giản hóa tài liệu, đồng thời giảm thiểu việc lặp lại các thẻ định dạng Hiện tại, đặc tả của CSS được quản lý bởi tổ chức World Wide Web Consortium (W3C).

 Cú pháp CSS gồm 3 thành phần:

Bộ chọn (selector) là công cụ xác định các phần tử HTML nào sẽ bị ảnh hưởng bởi các định dạng được chỉ định Các bộ chọn có thể bao gồm tên các phần tử như body, p, h1, h2, hoặc các lớp kiểu do người dùng tạo ra.

Thuộc tính (property) là yếu tố thể hiện tính chất định dạng, trong đó giá trị định dạng được gán cho thuộc tính Giữa thuộc tính và giá trị luôn có dấu hai chấm phân cách.

 Giá trị (value) bộ_chọn { thuộc_tính_1: giá_trị; thuộc_tính_2: giá_trị

Các cặp thuộc tính và giá trị được phân cách bằng dấu chấm phẩy, và không cần thêm dấu chấm phẩy sau thuộc tính – giá trị cuối cùng.

Chú thích trong CSS được sử dụng để giải thích mã định dạng, giúp dễ dàng chỉnh sửa sau này Nội dung nằm trong dấu chú thích sẽ bị trình duyệt bỏ qua Chú thích CSS bắt đầu bằng "/*" và kết thúc bằng "*/", ví dụ: /* nội dung chú thích */.

/* Chu thich cho phan tu p */ p { text-align: center;

/* Dung mau chu den va font Arial */ color: black; font-family: arial;

D Khai báo sử dụng CSS trong HTML

 Có 3 cách để sử dụng CSS.

 "Inline CSS" : Áp dụng trực tiếp trên một đối tượng nhất định bằng thuộc tính style:

Đoạn text cần in đậm, gạch chân, màu đỏ

"Internal CSS" involves placing CSS at the beginning of a webpage to style the entire page This is achieved by enclosing the CSS code within tags, which are then included in the header section of the webpage, specifically between the and tags.

body {font-family:verdana;color:#0000FF;} /* Kiểu chữ trong trang Web là

"Verdana", màu chữ thông thường là màu xanh dương */

External CSS allows you to place CSS properties in a separate file (*.css), enabling multiple web pages to reference the same styles For example, the content of a style.css file could include: body {font-family: verdana; color: #0000FF;}.

 Tham chiếu tới tệp tin CSS trên từ trang Web bằng đoạn mã (mã có thể nằm ngoài thẻ ):

Cookie

Cookie là một đoạn dữ liệu được gửi từ máy chủ đến trình duyệt, sau đó trình duyệt sẽ lưu trữ dữ liệu này (trong bộ nhớ hoặc trên ổ đĩa) và gửi lại cho máy chủ mỗi khi tải một trang web.

Cookie là các tệp dữ liệu nhỏ dạng văn bản được tạo ra bởi ứng dụng để lưu trữ và truy cập thông tin về người dùng đã truy cập vào website, bao gồm tên, mật khẩu, sở thích và thói quen Những thông tin này được trình duyệt của người dùng lưu trên ổ cứng, tuy nhiên, việc chấp nhận cookie phụ thuộc vào cài đặt của người dùng trong trình duyệt.

Cookie được tạo ra bởi website và gửi tới trình duyệt, vì vậy hai website khác nhau, dù cùng trên một máy chủ, sẽ có hai cookie khác nhau Hơn nữa, mỗi trình duyệt quản lý và lưu trữ cookie theo cách riêng, dẫn đến việc hai trình duyệt khác nhau truy cập vào cùng một website sẽ nhận được hai cookie khác nhau.

B Các thành phần của một cookie gồm

Domain Flag PathSecure Expiration Name Value www.redhat comFALSE/ FALSE 1154029490Apache64.3.40.151.16

 Domain: Tên miền tạo cookie

 Flag: Xác định các máy khác với cùng tên miền có được truy xuất đến cookie hay không

 Path: Phạm vi các địa chỉ có thể truy xuất cookie Ví dụ: Nếu path là

Khi sử dụng "/tracuu", các địa chỉ trong thư mục này và tất cả các thư mục con như /tracuu/baomat có khả năng truy cập vào cookie này.

“/” thì cookie sẽ được truy xuất bởi tất cả địa chỉ thuộc miền trang web tạo cookie

 Secure: Có kết nối SSL hay không

Thời gian hết hạn của cookie được tính bằng giây kể từ 00:00:00 giờ GMT ngày 01/01/1970 Nếu không thiết lập giá trị hết hạn, cookie sẽ chỉ được lưu trữ trong bộ nhớ RAM và sẽ bị xóa khi trình duyệt đóng lại.

 Value: Giá trị biến đó

Session

Session là khoảng thời gian người dùng tương tác với ứng dụng, bắt đầu khi họ truy cập lần đầu và kết thúc khi thoát Mỗi session có một định danh (ID) riêng, và các session khác nhau sẽ có ID khác nhau Trong ứng dụng web, website quyết định thời điểm bắt đầu và kết thúc session Trong suốt một session, website có thể lưu trữ thông tin như trạng thái đăng nhập và các bài viết đã đọc SessionID thường được lưu trữ để quản lý thông tin người dùng hiệu quả.

B Điểm giống và khác nhau giữa Session và Cookie

Cookie và Session đều nhằm mục đích lưu trữ dữ liệu để truyền tải giữa các trang trên cùng một website, nhưng chúng khác nhau về phương thức lưu trữ và quản lý dữ liệu.

Cookie được lưu trữ trong trình duyệt, nơi mà trình duyệt quản lý Mỗi khi người dùng truy cập vào một trang web trên máy chủ, trình duyệt sẽ tự động gửi cookie trở lại máy chủ.

Dữ liệu trong Session được quản lý bởi ứng dụng, cụ thể là website và webserver Khi người dùng truy cập vào website, trình duyệt chỉ gửi ID của session đến server để duy trì kết nối và quản lý thông tin người dùng.

Mỗi phiên làm việc (Session) được gán một định danh (ID) duy nhất, được tạo ra trên máy chủ khi phiên bắt đầu và sau đó được gửi đến trình duyệt Trình duyệt sẽ tự động gửi lại ID này lên máy chủ mỗi khi truy cập vào website, vì vậy việc lưu trữ Session ID trong Cookie sẽ giúp tiện lợi hơn, khi trình duyệt có thể tự động truyền ID này mà không cần người dùng can thiệp.

 Sử dụng Session hoặc Cookie là tuỳ vào lựa chọn của Lập trình viên, tuy nhiên Session thường được ưa chuộng hơn Cookie vì một số lý do sau:

Trong một số trường hợp, cookie có thể không hoạt động do trình duyệt được cấu hình để không chấp nhận cookie Trong tình huống này, phiên làm việc vẫn có thể được duy trì bằng cách truyền ID phiên qua URL giữa các trang web, ví dụ như script.php?sessionc123.

 Lượng data truyền tải giữa browser và server: chỉ mỗi session ID được truyền giữa browser và server, data thực sự được website lưu trữ trên server.

 Bảo mật: càng ít thông tin được truyền tải qua lại giữa browser và client càng tốt, và càng ít thông tin được lưu trữ tại client càng tốt.

Khi người dùng lần đầu truy cập, web server sẽ khởi tạo một phiên làm việc (session) và tạo một sessionID, đồng thời lưu trữ các biến session liên quan đến người dùng trong một file Web server cũng tạo một Cookie để gửi sessionID về trình duyệt Trình duyệt sẽ lưu cookie và gắn sessionID vào các yêu cầu tiếp theo gửi đến server.

Sau khi người dùng được xác thực qua thông tin cá nhân như tên và mật khẩu, session ID sẽ được sử dụng như một mật khẩu tĩnh tạm thời cho các yêu cầu tiếp theo Tuy nhiên, điều này cũng khiến session ID trở thành mục tiêu hấp dẫn cho các hacker, và trong nhiều trường hợp, họ đã chiếm đoạt được session ID.

ID hợp lệ của người dùng là yếu tố quan trọng để truy cập vào phiên làm việc của họ Tấn công vào phiên làm việc thường diễn ra theo hai phương thức chính.

 Ấn định phiên làm việc (Session Fixation).

 Đánh cắp phiên làm việc (Session Hijacking).

 Ấn định phiên làm việc

Hình 14: Ấn định phiên làm việc

 Chống việc đăng nhập với một sessionID có sẵn (luôn tạo sessionID mới khi người dùng đăng nhập hệ thống

 Giới hạn phạm vi ứng dụng của session ID

 Kết hợp SessionID với địa chỉ trình duyệt

 Xóa bỏ session khi người dùng thoát hệ thống hay tắt trình duyệt

 Thiết lập thời gian hết hiệu lực cho session

 Đánh cắp phiên làm việc

 Dự đoán phiên làm việc

 Hacker là người dùng của hệ thống

 Từ các sessionID nhận được tìm qui luật phát sinh

 Dự đoán được sessionID của phiên người dùng kế tiếp

 Vét cạn phiên làm việc(Brute force ID)

 Hacker tự tạo một chương trình gửi nhiều yêu cầu trong một khoảng thời gian đến trình chủ kèm sessionID

 Lợi dụng thói quen developer hay lấy địa chỉ IP của người dùng làm sessionID để vét cạn

 Tấn công kiểu dùng đoạn mã để đánh cắp phiên làm việc

 Thực hiện qua lỗi Cross-Site-Scripting, chèn đoạn mã vào trình duyệt của nạn nhân để lấy được cookie

View-state

ViewState là một kỹ thuật quan trọng giúp duy trì trạng thái của trang web ngay cả khi có Postbacks, cho phép lưu trữ thông tin của mỗi WebForm do Server quản lý và chứa dữ liệu của tất cả người dùng trên trang Khi gửi lại cho trình duyệt, ViewState được trình bày dưới dạng thẻ ẩn với các giá trị được mã hóa Người dùng có thể dễ dàng vô hiệu hóa hoặc kích hoạt ViewState thông qua thuộc tính EnableViewState trong từng thẻ hoặc trong cấu hình trang của ứng dụng.

B Tác dụng của View-state

Khi gửi một form trong ASP hoặc PHP, tất cả các giá trị trong form sẽ bị xóa nếu máy chủ phản hồi với lỗi, khiến người dùng phải nhập lại thông tin từ đầu Điều này xảy ra vì các trang web không duy trì trạng thái ViewState, gây bất tiện cho người dùng khi phải quay lại và sửa đổi thông tin đã nhập.

Khi bạn đăng tin trên forum sử dụng ASP hoặc PHP, sau khi điền đầy đủ thông tin cá nhân như tiêu đề và nội dung, bạn nhấn nút gửi đến server Nếu có lỗi trong thông tin, bạn sẽ phải làm mới trang, dẫn đến việc mất toàn bộ thông tin đã nhập và phải nhập lại từ đầu.

Khi bạn submit một form trong ASP.NET, form sẽ xuất hiện lại trong trình duyệt cùng với tất cả các giá trị đã nhập Cơ chế giữ lại các giá trị này là nhờ vào ViewState, cho phép ASP.NET duy trì trạng thái của trang khi gửi đến máy chủ ViewState được định nghĩa thông qua một trường ẩn (TEXT HIDDEN) và được đặt trong control , với thông tin được mã hóa để bảo mật.

some code

C Sử dụng view-state khi nào

ViewState là một đối tượng phía Server giúp lưu trữ dữ liệu trên trang trong quá trình postback, và dữ liệu này được gửi lại cho client thông qua các thẻ hidden Tuy nhiên, nếu ViewState quá lớn, nó có thể làm giảm hiệu suất của bộ thu gom rác Do đó, việc tối ưu hóa việc sử dụng ViewState là rất cần thiết trong một số trường hợp nhất định.

Mặc định, tất cả các control đều sử dụng ViewState Nếu trang của bạn chỉ đơn thuần là trang hiển thị kết quả hoặc mỗi yêu cầu đều cần nạp lại dữ liệu, bạn không cần thiết phải sử dụng ViewState.

 Trang của bạn không postback: nếu trang không postback lại dữ liệu, hoặc chỉ là trang output, thì không nên dùng ViewState.

 Bạn không handler các sự kiện của control: nếu các control không handler sự kiện, hoặc không bound data thì bạn cũng không cần dùng ViewState.

 Bạn khởi tạo lại dữ liệu mỗi khi refresh: nếu bạn bỏ qua dữ liệu cũ, thì cũng không cần dùng ViewState.

Xác thực và phân quyền người dùng trên hệ thống web

Xác thực (Authentication) là gì?

Theo Wikipedia, xác thực hay định danh (authentication) là quá trình thiết lập và chứng minh tính đáng tin cậy của một cá nhân hoặc một đối tượng, đảm bảo rằng những thông tin mà họ cung cấp là chính xác và đáng tin cậy.

RESTful web service sử dụng giao thức HTTP để giao tiếp, trong đó HTTP request là một giao thức không trạng thái Điều này có nghĩa là server không lưu trữ thông tin nào của client, và mọi request được xử lý độc lập, không phụ thuộc vào trạng thái hay kết quả của các request trước đó.

Do server không lưu trữ thông tin từ các yêu cầu trước đó, mỗi yêu cầu gửi lên server đều cần phải được xác thực lại, ngay cả khi đó là yêu cầu từ cùng một người dùng đã được chứng thực.

Một trong những cách để giải quyết vấn đề này là mỗi request client gửi lên đều gửi kèm thông tin đã chứng thực trước đó.

Authentication được thực hiện như thế nào?

Quá trình chứng thực có thể được nhận biết qua một số dấu hiệu, bao gồm việc client gửi thông tin chứng thực đến server trong mỗi yêu cầu, như username/password, chuỗi mã hóa (token, api key) và chuỗi ngẫu nhiên (session_id) Những thông tin này thường được gửi kèm trong HTTP request thông qua query string trong URL, Header (Cookie header, Authorization header, Custom header) và Body (Form field, Hidden field,…).

Quá trình xác thực là bước quan trọng để đảm bảo sự nhận diện giữa người dùng và ứng dụng, giúp ứng dụng có khả năng nhận dạng chính xác người dùng.

Về cơ bản thì một quá trình authentication sẽ gồm 2 bước:

 Xác thực một user (thường là request đầu tiên).

 Lưu giữ đăng nhập (cho các request phía sau).

Một quá trình authentication sẽ bao gồm 3 phần:

Sinh ra dấu hiệu là quá trình quyết định và tạo ra các dấu hiệu xác thực như username/password, user token, hoặc api key Mỗi loại dấu hiệu này có phương thức sinh ra và quy ước sử dụng riêng, đảm bảo tính bảo mật và hiệu quả trong quá trình xác thực.

Lưu trữ dấu hiệu là quá trình mà ứng dụng xác định vị trí lưu trữ dấu hiệu, bao gồm cả server và client, cũng như cách thức truyền tải thông qua HTTP request.

Kiểm tra dấu hiệu là quá trình xác minh tính hợp lệ của các dấu hiệu trong ứng dụng, nhằm đảm bảo rằng chúng đúng và thuộc về người dùng cụ thể.

Quá trình xác thực (authentication) được minh họa trong hình ảnh trên, trong đó mỗi yêu cầu sẽ được xử lý qua một hoặc nhiều giai đoạn khác nhau tùy thuộc vào thông tin đầu vào.

Cơ chế lưu giữ đăng nhập người dùng

Trong bài viết này, chúng ta sẽ cùng tìm hiểu chủ yếu tới 3 cơ chế lưu giữ đăng nhập người dùng cơ bản là:

Basic Auth là phương thức xác thực đơn giản nhất cho ứng dụng web, hoạt động bằng cách gửi tên người dùng và mật khẩu trong mỗi yêu cầu.

 Dấu hiệu: Chuỗi username:password đã được mã hóa Base64 Ví dụ có username là abc, password là 123 thì ta tạo chuỗi mã hóa: abc:123 –Base64–> YWJjOjEyMw==

Dấu hiệu lưu trữ được thực hiện tại máy chủ và client Tại máy chủ, username và password được lưu trong database hoặc file htpasswd Tại client, sau khi người dùng nhập thông tin lần đầu, trình duyệt sẽ lưu lại username và password trong bộ nhớ riêng, không thể truy cập bằng mã code trên trang, nhằm tránh việc phải nhập lại thông tin liên tục, tuy nhiên thời gian lưu trữ thường có giới hạn Khi truyền tải, chuỗi mã hóa base64 sẽ được gửi trong HTTP request qua Authorization header với từ khóa Basic: Authorization: Basic.

To verify user credentials, each request containing the username and password is compared against the database and configuration files to ensure their validity.

Basic Auth rất đơn giản và được hầu hết các trình duyệt cũng như webserver như nginx và apache hỗ trợ Bạn có thể dễ dàng cấu hình cho webserver sử dụng Basic Auth chỉ với một vài dòng lệnh.

Phương pháp này dễ dàng tích hợp với các phương pháp khác, nhờ vào việc được xử lý mặc định trên trình duyệt và webserver thông qua việc truyền tải HTTP header Điều này cho phép người dùng kết hợp linh hoạt với các phương pháp như cookie, session và token.

 Username/password dễ bị lộ Do mỗi request đều phải truyền username và password nên sẽ tăng khả năng bị lộ qua việc bắt request, log server,…

 Không thể logout Vì việc lưu username, password dưới trình duyệt được thực hiện tự động và không có sự can thiệp của chủ trang web.

Do vậy không có cách nào logout được người dùng ngoại trừ việc tự xóa lịch sử duyệt web hoặc hết thời gian lưu của trình duyệt.

Giao diện không thân thiện với người dùng có thể gây cảm giác nhàm chán, đặc biệt khi hiển thị hộp thoại đăng nhập và thông báo lỗi của trình duyệt Những thông báo này thường thiếu thông tin hữu ích, làm giảm trải nghiệm của người dùng.

Với những đặc điểm nổi bật, Basic Auth thường được áp dụng trong các ứng dụng nội bộ, thư mục cấm như hệ thống CMS, môi trường phát triển và quản trị cơ sở dữ liệu Việc sử dụng Basic Auth giúp tăng cường bảo mật cho các web server, ngăn chặn việc tiết lộ thông tin hệ thống nội bộ cho người ngoài và bảo vệ chống lại các cuộc tấn công, khai thác lỗ hổng ứng dụng.

Session-based authentication là phương pháp xác thực người dùng thông qua việc tạo session trên server Sau khi người dùng xác thực thành công bằng username và password, server sẽ tạo ra một Session ID duy nhất để nhận diện người dùng Session này lưu trữ thông tin người dùng đang đăng nhập và gửi lại Session ID cho client, cho phép truy cập vào session trong các yêu cầu tiếp theo.

Khách hàng có thể lưu Session ID dưới dạng cookie và gửi kèm trong mọi yêu cầu Hệ thống sẽ sử dụng Session ID này để xác định danh tính người dùng, giúp họ không phải nhập lại thông tin đăng nhập trong các lần truy cập sau.

Khi Session ID được gửi lên, server xác định danh tính người dùng và kiểm tra quyền truy cập của họ Mặc dù session và cookie vẫn có thể được sử dụng, nhưng với sự phát triển của các ứng dụng Hybrid và SPA (Single Page Application), nhu cầu truy cập nhiều hệ thống backend khác nhau đã tăng lên Do đó, session và cookie từ một server có thể không tương thích với server khác.

Chúng ta hãy điểm qua các khía cạnh cơ bản của cơ chế này:

 Dấu hiệu: 1 chuỗi (thường là random) unique gọi là Session ID

Session storage can occur on the server or client side On the server, session data is stored in databases, files, or RAM, and is accessed using a Session ID On the client side, the Session ID may be saved in cookies, within the URL, or as hidden form fields Additionally, the Session ID is transmitted in subsequent HTTP requests through the Cookie header.

SESSION_IDc), URL (/profile?session_idc), body

 Kiểm tra dấu hiệu: Server dùng Session ID client truyền lên để tìm dữ liệu của session từ các nguồn lưu như database, file, ram,…

Quá trình thiết lập Session ID thường diễn ra tự động từ phía server, dẫn đến việc xác thực dựa trên session thường sử dụng Cookie, vì Cookie có thể được thiết lập bởi server và tự động áp dụng cho các yêu cầu tiếp theo từ trình duyệt Do đó, cơ chế này thường gắn liền với Cookie Tuy nhiên, cần lưu ý rằng vẫn có nhiều phương pháp khác để sử dụng Session ID mà không cần đến Cookie.

Flow của Session-based Authentication:

Session ID là một chuỗi ngẫu nhiên không chứa thông tin cá nhân của người dùng, giúp bảo mật thông tin trong quá trình truyền tải Tất cả dữ liệu liên quan đến phiên đăng nhập và thông tin người dùng đều được lưu trữ trên máy chủ, đảm bảo rằng thông tin nhạy cảm được giữ kín.

Dung lượng truyền tải của Session ID rất nhỏ, vì nó chỉ là một chuỗi ký tự duy nhất dài khoảng 20-50 ký tự Do đó, việc gắn Session ID vào mỗi yêu cầu không làm tăng đáng kể độ dài của yêu cầu, giúp quá trình truyền tải diễn ra dễ dàng hơn.

Để sử dụng cơ chế session, bạn chỉ cần thực hiện các thay đổi ở phía server mà không cần tác động đến client Trình duyệt hầu như không cần xử lý thêm vì cookie đã được tích hợp tự động, hoặc server đã cung cấp sẵn session ID trong URL hoặc dưới dạng hidden form.

Phân quyền (Authorization) là gì?

Sau khi xác định danh tính và thiết lập giao thức giao tiếp, bước tiếp theo là xác định quyền hạn của đối tượng có định danh đó trong việc thực hiện hành động hoặc truy cập tài nguyên Quá trình này được gọi là phân quyền (Authorization), diễn ra sau khi hệ thống của bạn đã hoàn tất xác thực (Authentication) thành công.

Xác thực (authentication) trả lời câu hỏi “bạn là ai?” trong khi phân quyền (authorization) trả lời “bạn có thể làm gì?” Hai yếu tố này là thiết yếu cho mọi hệ thống, nhưng mức độ áp dụng phụ thuộc vào từng giai đoạn phát triển Việc thực hiện quá chặt chẽ ngay từ đầu có thể làm tăng độ phức tạp và cản trở sự phát triển của công ty, trong khi việc áp dụng muộn có thể dẫn đến nguy cơ bị tấn công và các rủi ro nghiêm trọng.

So sánh Authentication với Authorization

Authentication xác nhận danh tính của user để cấp quyền truy cập vào hệ thống.

Authorization là quá trình xác định quyền truy cập của người dùng vào tài nguyên, thông qua việc xác nhận thông tin đăng nhập để xác minh xem họ có được phép truy cập hay không.

Nó quyết định liệu người dùng có phải là những gì anh ta tuyên bố hay không

Authentication thường yêu cầu tên người dùng và mật khẩu.

Nó xác định những gì người dùng có thể và không thể truy cập.

Các yếu tố xác thực cần thiết để authorization có thể khác nhau, tùy thuộc vào mức độ bảo mật.

Authentication thường yêu cầu tên người dùng và mật khẩu.

Các yếu tố xác thực cần thiết để authorization có thể khác nhau, tùy thuộc vào mức độ bảo mật.

Authentication là bước đầu tiên của authorization vì vậy luôn luôn đến trước.

Authorization được thực hiện sau khi authentication thành công.

Sinh viên của một trường đại học cụ thể cần thực hiện quy trình tự xác thực trước khi truy cập vào liên kết dành cho sinh viên trên trang web chính thức.

Ví dụ, authorization xác định chính xác thông tin nào sinh viên được phép truy cập trên trang web của trường đại học sau khi authentication thành công.