WebGiá

(WEB)

JSON Web Token (JWT) là một tiêu chuẩn mở (RFC 7519) để truyền thông tin an toàn giữa các bên dưới dạng đối tượng JSON. Mục đích chính của nó là cho phép xác thực và ủy quyền an toàn, phi trạng thái (stateless) trong các ứng dụng web. Nó cho phép các claims (thông tin) được ký điện tử (digitally signed), đảm bảo rằng dữ liệu chưa bị can thiệp và xác minh tính xác thực của người gửi. Điều này làm cho nó trở thành một cách nhỏ gọn và độc lập để thể hiện thông tin một cách an toàn cho các tác vụ như xác minh danh tính người dùng.

Luồng công việc của JWT bắt đầu khi người dùng đăng nhập thành công, nhắc nhở máy chủ cấp một JWT cho client. Token này, thường chứa các claims dành riêng cho người dùng và thời gian hết hạn, sau đó được lưu trữ ở phía client. Đối với các yêu cầu tiếp theo để truy cập tài nguyên được bảo vệ, client sẽ đưa JWT này vào tiêu đề yêu cầu (request header). Khi nhận được yêu cầu như vậy, máy chủ sẽ xác minh chữ ký điện tử (digital signature) của token bằng cách sử dụng một khóa bí mật (secret key). Việc xác thực này xác nhận tính toàn vẹn và xác thực của token. Dựa trên các claims bên trong token, máy chủ sau đó xác thực người dùng và xác định quyền truy cập của họ vào tài nguyên được yêu cầu mà không cần phải truy vấn cơ sở dữ liệu để biết thông tin phiên (session information).

JSON Web Token (JWT) được sử dụng hiệu quả nhất cho một số trường hợp sử dụng chính. Chúng chủ yếu được sử dụng để ủy quyền (authorization), cho phép người dùng truy cập an toàn vào các tuyến đường (routes) và tài nguyên được phép sau khi đăng nhập ban đầu. Token này đóng vai trò là một thông tin xác thực (credential) chứng minh danh tính và quyền hạn của người dùng. Một ứng dụng quan trọng khác là trao đổi thông tin an toàn giữa các bên, nơi chữ ký điện tử đảm bảo tính toàn vẹn và xác thực của dữ liệu được truyền. Ngoài ra, JWT là nền tảng để triển khai Đăng nhập một lần (Single Sign-On - SSO) trên nhiều miền hoặc dịch vụ, cho phép người dùng đăng nhập một lần và truy cập các ứng dụng được kết nối khác nhau một cách liền mạch.

Việc tích hợp JWT mang lại nhiều lợi ích, nâng cao bảo mật và hiệu quả của ứng dụng. Chúng cho phép xác thực phi trạng thái (stateless authentication), nghĩa là máy chủ không cần lưu trữ dữ liệu phiên (session data), dẫn đến cải thiện khả năng mở rộng (scalability) và giảm tải máy chủ. JWT có khả năng chống giả mạo (tamper-resistant) nhờ chữ ký điện tử của chúng, đảm bảo tính toàn vẹn và xác thực dữ liệu. Bản chất nhỏ gọn và độc lập của chúng cho phép truyền dễ dàng và đơn giản hóa việc quản lý phiên. Hơn nữa, JWT hỗ trợ khả năng tương thích đa nền tảng, khiến chúng trở nên linh hoạt để sử dụng trên nhiều client và dịch vụ khác nhau. Những đặc điểm này góp phần tạo nên một hệ thống xác thực và ủy quyền mạnh mẽ, hiệu quả và an toàn hơn.

Mặc dù JSON Web Token (JWT) không phải là một phương thức xác thực theo nghĩa xác minh trực tiếp thông tin đăng nhập của người dùng, nhưng nó là một thành phần quan trọng được sử dụng nhiều cho xác thực và ủy quyền sau khi đăng nhập. Nó hoạt động như một thông tin xác thực an toàn, độc lập mà client trình bày cho máy chủ để chứng minh danh tính và trạng thái ủy quyền của họ cho các yêu cầu tiếp theo. JWT thường tích hợp liền mạch với các giao thức bảo mật rộng hơn, chẳng hạn như OAuth 2.0. Trong những trường hợp như vậy, OAuth 2.0 xử lý quy trình cấp quyền ủy quyền (authorization grant process), trong khi JWT thường được sử dụng để đại diện cho các mã thông báo truy cập (access tokens) được cấp, cung cấp một cách chuẩn hóa và an toàn để truyền tải thông tin ủy quyền.

Payload của một JWT chứa nhiều 'claims' khác nhau, là những tuyên bố về một thực thể, thường là người dùng, và dữ liệu bổ sung. Các claims tiêu chuẩn, còn được gọi là registered claims, được định nghĩa trước để sử dụng phổ biến và nâng cao khả năng tương tác. Các ví dụ chính bao gồm `iss` (issuer), xác định thực thể đã cấp JWT; `sub` (subject), xác định chủ thể mà token khẳng định thông tin; `aud` (audience), chỉ định người nhận mà JWT được dành cho; `exp` (expiration time), cho biết thời gian sau đó JWT không được chấp nhận; `iat` (issued at time), đánh dấu thời điểm JWT được cấp; và `jti` (JWT ID), một định danh duy nhất cho JWT.