Đã đăng vào Thứ Hai, 1:00 SA 4 phút đọc

Bảo mật OAuth2: Đừng để Social Login trở thành lỗ hổng CSRF (và cách khắc phục triệt để)

MayFest2026

Trong phát triển web hiện đại, chúng ta thường coi Social Login (Google, GitHub, Apple...) là một tính năng "đã có lời giải". Chỉ cần cài một thư viện như Passport.js, cấu hình Client ID và mặc định tin rằng bảo mật của các "ông lớn" sẽ bảo vệ luôn cả ứng dụng của mình.

Đó là một sai lầm phổ biến.

Dù hệ thống của Google hay GitHub gần như không thể bị phá vỡ, nhưng Tầng Tích Hợp (Integration Layer)—phần logic bạn viết để kết nối phản hồi OAuth2 vào database của mình—hoàn toàn là trách nhiệm của bạn. Trong đợt audit kiến trúc mới nhất cho nodejs-quickstart-structure v2.2.1, chúng tôi đã tập trung giải quyết một lỗ hổng thường bị bỏ qua: OAuth CSRF.

Kịch bản tấn công: Khi Hacker chiếm quyền điều khiển tài khoản của bạn

Để hiểu tại sao chúng ta cần giải pháp phức tạp, hãy nhìn vào cách một hacker có thể "hack" tài khoản của người dùng thông qua Social Login mà không cần password:

Chuẩn bị (The Trap): Hacker truy cập vào trang web của bạn, nhấn "Liên kết với Google". Hắn đăng nhập bằng tài khoản Google của chính hắn. Tuy nhiên, khi Google redirect quay lại website với một code trong URL, hắn dừng lại và copy cái code đó.
Dẫn dụ (The Lure): Hacker gửi cho nạn nhân một đường link trông có vẻ vô hại: https://your-app.com/api/auth/google/callback?code=HACKER_CODE.
Kích hoạt (The Click): Nạn nhân (người đang đăng nhập vào website của bạn) click vào link đó.
Chiếm quyền (The Link): Server của bạn nhận được HACKER_CODE, gửi sang Google xác thực thấy hoàn toàn hợp lệ. Vì nạn nhân là người gửi request, server sẽ liên kết ID Google của hacker vào profile của nạn nhân.
Hậu quả (The Takeover): Từ giờ trở đi, hacker chỉ cần nhấn "Login with Google" bằng tài khoản của hắn là có thể đăng nhập thẳng vào tài khoản của nạn nhân.

Đây là một dạng Account Takeover (ATO) cực kỳ nguy hiểm vì nó không để lại dấu vết bất thường trong log hệ thống truyền thống.

Sơ đồ luồng tấn công

Giải pháp Zero-Trust: Xác thực trạng thái bằng Cryptography

Trong phiên bản 2.2.1, chúng tôi đã áp dụng mô hình Zero-Trust để chuẩn hóa việc tích hợp này.

Sơ đồ luồng bảo mật (với State)

1. Khởi tạo Redirect an toàn

Thay vì redirect thông thường, chúng tôi tạo ra một token state ngẫu nhiên và lưu nó vào một cookie có thuộc tính HttpOnly, SameSite=Lax.

// Trích xuất từ authController.js
async googleLogin(req, res) {
  const state = crypto.randomBytes(16).toString('hex');
  
  // Lưu state vào cookie bảo mật
  res.cookie('oauth_state', state, { 
    httpOnly: true, 
    secure: process.env.NODE_ENV === 'production', 
    sameSite: 'lax',
    maxAge: 10 * 60 * 1000 // Hết hạn sau 10 phút
  });

  const options = {
    client_id: process.env.GOOGLE_CLIENT_ID,
    redirect_uri: process.env.GOOGLE_CALLBACK_URL,
    response_type: 'code',
    scope: 'profile email',
    state: state // Gửi state sang nhà cung cấp
  };
  res.redirect(`https://accounts.google.com/o/oauth2/v2/auth?${new URLSearchParams(options).toString()}`);
}

2. Xác thực Callback nghiêm ngặt

Khi nhà cung cấp redirect quay lại, chúng ta phải so khớp tham số state từ URL với state được lưu trong cookie.

async googleCallback(req, res, next) {
  const { code, state } = req.query;
  const savedState = req.cookies?.oauth_state;
  
  // Xóa cookie ngay lập tức (chỉ dùng một lần)
  res.clearCookie('oauth_state');

  if (!state || state !== savedState) {
    return res.status(403).json({ message: 'Tham số state không hợp lệ hoặc đã hết hạn' });
  }
  
  // Sau khi vượt qua check, mới tiến hành trao đổi mã lấy token qua Axios...
}

Tại sao không dùng Passport.js?

Passport.js rất tốt để làm prototype, nhưng trong môi trường doanh nghiệp (Enterprise), nó thường hoạt động như một "hộp đen". Việc tự triển khai Token Exchange qua Axios mang lại:

Khả năng quan sát (Visibility): Mọi HTTP header và phản hồi đều có thể log và audit rõ ràng.
Xử lý lỗi chi tiết: Dễ dàng phân biệt giữa mã hết hạn, lỗi từ provider hay lỗi kết nối.
Giảm thiểu Dependency: Giảm diện tích tấn công (attack surface) và tối ưu kích thước ứng dụng.

Được kiểm chứng qua 7.920+ kịch bản

Bảo mật chỉ thực sự ý nghĩa khi nó hoạt động ổn định trong mọi cấu hình. Kiến trúc này đã được kiểm chứng tự động qua hơn 7.920 tổ hợp dự án khác nhau—từ TypeScript, JavaScript, MVC cho đến Clean Architecture.

Khi bạn khởi tạo dự án bằng nodejs-quickstart-structure, bạn không chỉ nhận được boilerplate, mà là một chuẩn mực bảo mật đã được thử thách qua thực tế.

Tìm hiểu thêm về dự án:

Source Code mẫu: paudang/nodejs-social-auth
Framework & CLI: paudang/nodejs-quickstart-structure
Source: The OAuth Integration Debt: Why Your Social Login Is a CSRF Risk
Tác giả: Pau Dang (Senior SE)

authenticate Backend javascript (nodejs)