OAuth 2.0 – "Để người khác dùng giùm bạn mà không cần cho mật khẩu" là thật! -

OAuth 2.0 – "Để người khác dùng giùm bạn mà không cần cho mật khẩu" là thật! -

OAuth 2.0 – "Để người khác dùng giùm bạn mà không cần cho mật khẩu" là thật! -

OAuth 2.0 – "Để người khác dùng giùm bạn mà không cần cho mật khẩu" là thật! -

OAuth 2.0 – "Để người khác dùng giùm bạn mà không cần cho mật khẩu" là thật! -
OAuth 2.0 – "Để người khác dùng giùm bạn mà không cần cho mật khẩu" là thật! -
(028) 35124257 - 0933 427 079

OAuth 2.0 – "Để người khác dùng giùm bạn mà không cần cho mật khẩu" là thật!

Bạn có từng đăng nhập vào ứng dụng nào đó mà không cần gõ lại username/password, chỉ cần chọn “Đăng nhập bằng Google” hay “Kết nối với Facebook”? Đằng sau sự tiện lợi ấy chính là OAuth 2.0 – khung phân quyền đang chi phối gần như mọi ứng dụng hiện đại.

Đừng nhầm giữa xác thực (authentication) và phân quyền (authorization) nữa! OAuth KHÔNG dùng để xác minh bạn là ai, mà là để quyết định ứng dụng bên thứ ba được làm gì thay bạn. Ví dụ? Một app quản lý ảnh có thể xem album Google Photos của bạn mà không cần “đòi” mật khẩu Google. Quá đỉnh!

Tại sao OAuth 2.0 lại "hot"?

  • Không tiết lộ password cho bên thứ ba → bảo mật hơn.

  • Giới hạn quyền truy cập – bạn có thể chỉ cấp quyền xem, không cho sửa/xoá.

  • Có thể thu hồi bất kỳ lúc nào – không cần đổi pass.

  • Chuẩn mở – tích hợp được với Google, Facebook, Microsoft, Dropbox, GitHub...

Cách hoạt động của OAuth 2.0 (quy trình đơn giản hóa)

  • Ứng dụng yêu cầu bạn cho phép truy cập một dịch vụ (ví dụ, lịch Google).

  • Bạn được chuyển đến Google để đăng nhập và xác nhận.

  • Google cấp cho ứng dụng một access token (thẻ truy cập tạm thời).

  • Ứng dụng dùng token đó để truy cập tài nguyên (lịch) thay mặt bạn.

  • Token này có thể hết hạn, và nếu có refresh token, ứng dụng sẽ tự lấy cái mới mà không làm phiền bạn.

Các loại “Grant” – cấp phép trong OAuth
Ví dụ: App mobile bạn viết cho nội bộ công ty có thể dùng Password Grant nếu bạn kiểm soát cả client và backend. Nhưng public app trên store thì tuyệt đối KHÔNG dùng kiểu này.

Hai luồng phân quyền chính
Luồng hai chân (Two-legged OAuth)
→ App ↔ Authorization Server ↔ Resource Server
Không có người dùng. Dùng cho các tác vụ backend nội bộ.

Luồng ba chân (Three-legged OAuth)
→ App ↔ Người dùng ↔ Authorization Server ↔ Resource Server
Dùng phổ biến nhất cho web, mobile, cloud apps.

Case thực tế
Một công ty xây hệ thống báo cáo nội bộ, cần lấy dữ liệu từ Google Sheet của nhiều người. Họ triển khai OAuth với Three-legged Flow, để nhân viên tự cấp quyền truy cập → hệ thống thu thập dữ liệu mà không cần lưu thông tin đăng nhập.
Hệ thống AI Bot cần gọi API từ server nội bộ → dùng Client Credentials Grant vì không có người dùng, chỉ server nói chuyện với server.

Kết luận
OAuth 2.0 không chỉ là một giao thức. Nó là xương sống của bảo mật hiện đại khi bạn muốn tích hợp, chia sẻ hoặc kết nối dịch vụ với nhau. Từ đăng nhập một lần (SSO) cho đến các giải pháp API Gateway, OAuth là chiếc chìa khoá mà bất kỳ DevOps hay Automation Engineer nào cũng nên hiểu rõ.
Bạn đang tích hợp API, xây ứng dụng cloud, hay đơn giản là bảo vệ người dùng khỏi các cuộc tấn công lấy cắp thông tin? → OAuth 2.0 là kỹ năng bắt buộc phải biết!


Thông tin khác

FORM ĐĂNG KÝ MUA HÀNG
Đặt hàng
icon-cart
0