Tin Tức

Tổng hợp các bài viết, kinh nghiệm, chia sẻ kiến thức hữu ích về việc làm onsite, nhân sự onsite.

Series Authentication: Phần 1: Basic Authentication - Cái Đơn Giản Nhưng Hiệu Quả

Basic Authentication – cách bảo mật đơn giản nhất trong lập trình, dễ như ăn cơm sườn, nhưng nếu không biết sử dụng đúng cách thì cũng dễ bị “ăn hành”. Trong bài này, chúng ta sẽ cùng nhau tìm hiểu về cách thức hoạt động của Basic Auth, điểm mạnh và điểm yếu của nó, kèm theo một chút minh họa hài hước để giúp bạn nhớ lâu hơn!
image-hatonet

1. Basic Authentication Là Gì?

Basic Authentication, hay còn gọi là "Basic Auth", giống như chìa khóa mở cửa của một căn nhà (mặc dù nó chỉ là cái chìa khóa tạm bợ). Nó yêu cầu người dùng nhập vào username và password, sau đó thông tin này sẽ được mã hóa bằng Base64 trước khi được gửi đến server.

Chú ý: Mã hóa bằng Base64 không thực sự bảo mật lắm đâu! Bạn có thể tưởng tượng Base64 giống như viết password của bạn lên một tờ giấy, gấp lại, rồi đưa cho ai đó. Họ chỉ cần mở giấy ra là thấy rõ ngay, nên nếu không có lớp bảo mật như HTTPS thì đừng mong an toàn!

2. Cách Hoạt Động

Quá trình này diễn ra như sau:

  1. Người dùng nhập username và password.
  2. Trình duyệt mã hóa username và password bằng Base64 (thật ra không mạnh lắm, đừng quá tin tưởng vào nó).
  3. Thông tin này được gửi đi trong header của request HTTP.
  4. Server kiểm tra thông tin đăng nhập: Nếu đúng thì cho vào, nếu sai thì "quay xe" về lại màn hình đăng nhập thôi!

Bạn có thể hình dung Basic Auth như một người bảo vệ ở cửa, mỗi lần ai đó vào nhà, bạn đưa thẻ nhân viên (chính là username và password), bảo vệ nhìn qua thẻ, thấy đúng thì cho vào. Nhưng nếu bạn đi ra ngoài mua trà sữa mà quên khóa cửa (sử dụng HTTP thay vì HTTPS), thì có thể kẻ trộm sẽ tiện đường "mượn" luôn thông tin của bạn và quay lại vào nhà sau khi bạn đi mất!

3. Lợi Ích Của Basic Authentication

Mặc dù Basic Auth có vẻ "thô sơ", nhưng vẫn có những ưu điểm nhất định, nhất là khi sử dụng đúng cách:

  • Dễ cài đặt: Chỉ cần vài dòng mã là xong, không cần phức tạp hóa vấn đề.
  • Không cần duy trì phiên (session): Không phải lo lắng về việc lưu trữ thông tin phiên hay xử lý cookie, làm cuộc sống đơn giản hơn.
  • Hữu dụng cho API đơn giản: Trong các API đơn giản, không có yêu cầu bảo mật cao, Basic Auth là một lựa chọn nhanh chóng và tiện lợi.

4. Hạn Chế Của Basic Authentication

Tuy nhiên, với sức mạnh to lớn đi kèm trách nhiệm nặng nề – Basic Auth có rất nhiều điểm yếu:

  • Không bảo mật khi dùng HTTP: Khi sử dụng qua HTTP (không mã hóa), thông tin đăng nhập của bạn có thể bị “nghe lén” bởi bất kỳ ai. Ví dụ, một kẻ xấu có thể đứng ở quán cà phê và bắt chước mọi yêu cầu của bạn.
  • Không hỗ trợ logout: Không có khái niệm "phiên" trong Basic Auth, nên bạn không thể đăng xuất theo cách thông thường (trừ khi bạn đóng hẳn trình duyệt).
  • Yếu với hệ thống lớn: Trong các ứng dụng phức tạp hoặc có nhiều người dùng, Basic Auth khó có thể đảm bảo bảo mật tốt được.

Basic Auth giống như một lớp học mà mọi người đều biết mật khẩu của lớp là "123456". Bạn có thể sử dụng mật khẩu đó để vào lớp mỗi ngày, nhưng nếu ai đó biết được và phá cửa vào lớp thì cả lớp sẽ bị "tổn thương tinh thần" nặng nề!

5. Triển Khai Basic Authentication

Hãy cùng xem qua một ví dụ về cách triển khai Basic Auth trong một ứng dụng web đơn giản. Dưới đây là cách sử dụng Basic Auth trong một ứng dụng Express.js:

Khi chạy đoạn mã này, trình duyệt sẽ yêu cầu bạn nhập username và password để truy cập vào ứng dụng. Đơn giản nhưng hiệu quả cho những dự án nhỏ hoặc test nội bộ.

6. Basic Auth Trong Thực Tế

Để sử dụng Basic Auth một cách an toàn, điều đầu tiên bạn cần nhớ là luôn dùng HTTPS. Không có HTTPS, Basic Auth sẽ trở thành một trò đùa cho các hacker. Basic Auth thường được sử dụng trong các hệ thống nhỏ, nội bộ hoặc cho các ứng dụng không có yêu cầu bảo mật quá cao.

Ví dụ thực tế: Bạn có thể gặp Basic Auth khi đăng nhập vào các API của hệ thống quản trị nội bộ, nơi mà bảo mật không phải ưu tiên hàng đầu.

7. Khi Nào Nên Sử Dụng Basic Authentication?

  • Khi bạn chỉ làm việc với các dự án nhỏ, nội bộ.
  • Khi bạn cần một giải pháp nhanh chóng và đơn giản cho việc bảo vệ API mà không cần tính năng phức tạp.
  • Khi bạn đang trong quá trình phát triển và chưa triển khai lên môi trường production.

8. Kết Luận

Basic Authentication tuy đơn giản nhưng vẫn có thể hữu ích trong một số trường hợp cụ thể. Điều quan trọng là bạn cần hiểu rõ cách hoạt động của nó và sử dụng một cách cẩn thận để tránh bị “thủng lưới”.

Hãy tưởng tượng Basic Auth như một cánh cửa sổ không khóa. Bạn chỉ cần đẩy nhẹ là vào, nhưng nếu ai đó biết cách mở, họ cũng có thể vào dễ dàng. Vì vậy, nhớ "khóa cửa" (dùng HTTPS) trước khi yên tâm về bảo mật nhé!

Hatonet kết nối doanh nghiệp ITO toàn cầu.
Giúp các doanh nghiệp IT Việt Nam tiết kiệm chi phí,tìm kiếm đối tác,mở rộng mạng lưới.

- Mở rộng kênh tìm kiếm khách hàng gia tăng doanh thu.

- Tiết kiệm chi phí quan hệ tìm đối tác.

- Ứng tuyển trực tuyến bất cứ lúc nào khi có yêu cầu.

- Trực tiếp liên kết với công ty quốc tế

Liên hệ :

Email: hello@hatonet.vn

Zalo: https://zalo.me/hatonet

hatonet