Các cơ chế authentication phổ biến (sessions, JWT, OAuth) là gì?

Question

Accepted Answer

Các ứng dụng hiện đại dùng nhiều **cơ chế authentication** — dựa trên session, dựa trên token (JWT), và authentication ủy quyền (OAuth/OpenID Connect). Hiểu cách mỗi loại hoạt động và sự đánh đổi của chúng là quan trọng để triển khai authentication an toàn.

## Authentication dựa trên session

```text
Dựa trên SESSION (truyền thống):
  → người dùng đăng nhập → server tạo một SESSION (lưu phía server) → gửi một session ID
    cookie → trình duyệt gửi nó với mỗi request → server tra cứu session
  ✓ server kiểm soát session (dễ thu hồi); đơn giản; cookie tự động gửi
  ✗ stateful (server lưu session); để mở rộng cần shared session storage
```

## Dựa trên token (JWT)

```text
JWT (JSON Web Token):
  → người dùng đăng nhập → server phát hành một token ĐÃ KÝ chứa claims (user id, v.v.) →
    client lưu nó → gửi nó (thường trong một Authorization header) mỗi request →
    server XÁC MINH CHỮ KÝ (không cần tra cứu phía server)
  ✓ STATELESS (dễ mở rộng; không cần session store); phù hợp cho API/SPA/mobile
  ✗ khó THU HỒI trước khi hết hạn (nó tự chứa) → dùng expiry ngắn + refresh tokens
  ⚠️ lưu an toàn; đừng đặt secrets trong payload (đọc được); xác thực đúng cách
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → AUTHORIZATION ỦY QUYỀN ("Đăng nhập bằng Google/GitHub"):
  → cho phép người dùng xác thực qua bên thứ ba mà không chia sẻ mật khẩu với app của bạn
  → app của bạn nhận một token để truy cập các tài nguyên được phép (có scope)
OPENID CONNECT (trên nền OAuth) → bổ sung AUTHENTICATION (danh tính) → tiêu chuẩn cho SSO/
  social login
→ ủy quyền auth cho các nhà cung cấp đáng tin cậy; người dùng không tạo thêm mật khẩu.
```

## Tại sao điều này quan trọng

Hiểu các cơ chế authentication phổ biến là quan trọng vì **authentication là cơ bản đối với hầu hết ứng dụng**, và việc chọn và triển khai nó đúng cách ảnh hưởng đến bảo mật và kiến trúc, nên đó là kiến thức có giá trị.

Các cơ chế chính mỗi loại có đặc điểm và sự đánh đổi. **Authentication dựa trên session** (session phía server với một session-ID cookie) cho server kiểm soát session (dễ thu hồi) nhưng stateful (đòi hỏi shared session storage để mở rộng).

Authentication bằng **JWT (dựa trên token)** (token tự chứa đã ký, được xác minh mà không cần tra cứu phía server) là **stateless** (dễ mở rộng, phù hợp cho API, SPA và mobile) nhưng có sự đánh đổi đáng chú ý là **token khó thu hồi trước khi hết hạn** (vì chúng tự chứa, đòi hỏi expiry ngắn cộng refresh tokens) và phải được lưu an toàn không có secrets trong payload đọc được — hiểu các cân nhắc JWT này là quan trọng vì JWT phổ biến nhưng thường bị dùng sai. **OAuth 2.0 và OpenID Connect** (authentication ủy quyền — "Đăng nhập bằng Google/GitHub") cho phép người dùng xác thực qua bên thứ ba đáng tin cậy mà không chia sẻ mật khẩu với app của bạn, tiêu chuẩn cho SSO và social login.

Hiểu các cơ chế này, cách chúng hoạt động, và **sự đánh đổi** của chúng (tính stateful của session và việc thu hồi dễ dàng so với tính stateless của JWT và khó thu hồi; OAuth cho auth ủy quyền) là quan trọng để chọn cách tiếp cận đúng (sessions cho web app truyền thống với sự kiểm soát của server, JWT cho API stateless, OAuth cho ủy quyền/social login) và triển khai nó an toàn.

Authentication là cơ bản, và làm đúng nó (cơ chế đúng, triển khai an toàn) là then chốt cho bảo mật.

Vì authentication là cơ bản đối với hầu hết ứng dụng và các cơ chế (sessions, JWT, OAuth) có những khác biệt và đánh đổi quan trọng ảnh hưởng đến bảo mật và kiến trúc, và vì hiểu chúng là cần thiết để triển khai authentication đúng cách, nên hiểu các cơ chế authentication phổ biến là kiến thức bảo mật có giá trị, liên quan thực tế — quan trọng cho nhu cầu cơ bản về authentication, cho phép các lựa chọn hợp lý giữa sessions, JWT và OAuth và việc triển khai an toàn chúng, một chủ đề then chốt để xây dựng ứng dụng an toàn với authentication đúng cách.