vi
new
0
Avatar
Nguyễn Huy Hoàng @hhoang
6.8K 98 488
Đã đăng vào khoảng 12 giờ trước 3 phút đọc
35

Bài 4: Authorization Code Flow (Luồng chuẩn cho Web App)

Tại sao lại gọi là "Authorization Code"? Vì nó không trả trực tiếp Token cho ứng dụng của bạn (để tránh lộ lọt trên trình duyệt), mà nó gửi qua một bước trung gian là "Authorization Code".

1. Tại sao cần luồng này? (Security First)

Nếu chúng ta gửi thẳng Access Token qua URL (trình duyệt), token rất dễ bị đánh cắp qua lịch sử trình duyệt hoặc logs của server trung gian. Luồng này tách biệt việc xác thực và cấp token thành 2 bước riêng biệt.

2. Các bước vận hành (The Flow)

  1. Request (Đăng nhập): Bạn truy cập vào Web App của công ty. App chuyển hướng (redirect) bạn đến IdP với một đường link chứa client_idredirect_uri.
  2. Authentication (Đăng nhập tại IdP): Bạn nhập username/password tại IdP (lúc này App của công ty không hề biết mật khẩu của bạn).
  3. Authorization Code: Sau khi đăng nhập xong, IdP không trả token ngay. Nó chuyển hướng bạn về lại redirect_uri của App kèm theo một đoạn mã ngắn gọi là Authorization Code.
  4. Exchange (Đổi Code lấy Token): Server của App (Backend) dùng đoạn code này gửi một yêu cầu bí mật (cần thêm client_secret mà chỉ Backend mới biết) đến IdP để "đổi" lấy Access Token.
  5. Access: IdP kiểm tra code hợp lệ và trả về Access Token (và ID Token). Bây giờ, App của bạn đã có "chìa khóa" để gọi API.

3. Tại sao bước 4 là "vũ khí bí mật"?

  • An toàn tuyệt đối: Việc trao đổi Code lấy Token diễn ra từ Server-to-Server (kênh bảo mật), trình duyệt của người dùng không hề tham gia vào bước này.
  • Client Secret: Đây là "bí mật" chỉ nằm trên server của bạn (biến môi trường .env trong Laravel/Go). Kẻ xấu dù có chặn được trình duyệt cũng không thể lấy được Token nếu không có cái Secret này.

Bảng tóm tắt các vai trò trong luồng

User (Bạn): Người thực hiện thao tác. Client (App của bạn): Ứng dụng đang cần xác thực người dùng. Client (App của bạn): Ứng dụng đang cần xác thực người dùng. IdP (Server xác thực): Nơi giữ User Database và cấp phát Token. Authorization Code: "Vé tạm thời" dùng 1 lần duy nhất, có thời gian sống cực ngắn.

Câu hỏi kiểm tra kiến thức cho bạn: Tại sao chúng ta phải dùng Client Secret ở bước 4 thay vì để trình duyệt thực hiện trực tiếp? (Gợi ý: Hãy nghĩ về việc trình duyệt là môi trường "công cộng" mà ai cũng có thể xem được nội dung gửi đi).

Nếu bạn đã hiểu rõ luồng này, bài tiếp theo chúng ta sẽ nói về "SSO trong kiến trúc Microservices" – nơi mà bạn có hàng chục Service cần kiểm tra Token cùng lúc

Authorization Code

All rights reserved

Mục lục


Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí