Auth: 02 - So sánh giữa cookie vs token authentication 🎉

cảm ơn anh :(( em đọc tài liệu nhiều lần rồi mà còn thiếu xót. xem video của anh lấp lại hết lỗ hổng

Yeah may quá, giúp bạn thông suốt được vấn đề là may mắn của mình òi. Ngon lành hehe 😍

yeah cảm ơn bạn đã phản hồi nhé, mình sẽ lưu ý hơn nè hihi

cảm ơn bạn Trường nhiều nhé 😊

Yeahhh cảm ơn bạn nhiều nhé 😍

hihi cảm ơn em nhiều nhé Dũng 😍

hi Nam, hiện thì anh hk có làm BE nha Nam 🙂Anh chỉ làm FE thôi nè hihi

Yeah chỉ còn 1-2 videos nữa là tới rồi Min ơi, keep calm và đợi nhen hihi, tại anh dạo này sml quá, ko đi nhanh đc 😅

hi bạn, thông tin máy tính của mình thế này nha:
Macbook Pro 2019
Screen 16 inches
RAM 16GB
SSD 512GB

Trong playlist của thầy có "Học redux cơ bản 2020" nhưng e đang băn khoăn có nên học redux không? Hay chỉ cần Context là được?

phải học cả bạn à

2 cái này học nhanh lắm nên bạn học cả nhé

Khanh Pham yeah như bạn Tùng nói, em nên học nhé Khánh, vì tuỳ project, tuỳ trường hợp mà mình có thể apply tương ứng. Tuy nhiên thực tế thì đa phần dùng redux nè 😉

Dạ e cảm ơn thầy và a Tùng nhé, e sẽ học cả 2 😁

hi em, cái này tuỳ nhu cầu của em thôi nhen 😉
Cơ bản là cần một nơi để lưu các session để validate các session của user, còn lưu ở đâu thì tuỳ nhu cầu của em nhé hehe

à em xem thêm cơ chế JWT em nhen, với secret key em có thể check đc là token đó có hợp lệ hay ko em nha, nếu nó bị chỉnh sửa thì em check valid nó sẽ trả về false á Hiệp hehe

Trong hệ thống sử dụng JWT (JSON Web Token), server có thể xác minh tính hợp lệ của token gửi từ phía client bằng cách thực hiện các bước sau:
Giải mã JWT: Server sẽ sử dụng secret key (khóa bí mật) được chia sẻ trước đó với phía client để giải mã token. Bằng cách giải mã, server có thể trích xuất thông tin từ phần payload của token.
Kiểm tra chữ ký (signature): Sau khi giải mã, server sẽ kiểm tra tính hợp lệ của chữ ký được tính toán từ phần header và payload của token. Để thực hiện việc này, server sử dụng secret key đã được chia sẻ để so sánh với chữ ký trong token. Nếu chữ ký không khớp hoặc token đã bị chỉnh sửa, server sẽ từ chối token đó.
Kiểm tra thông tin trong payload: Server có thể kiểm tra các thông tin trong phần payload của token để xác minh tính hợp lệ của nó. Các thông tin này có thể bao gồm ID người dùng, quyền truy cập, thời gian hết hạn (expiry), và các thông tin tùy chọn khác. Server có thể kiểm tra xem token có đáng tin cậy và có quyền thực hiện yêu cầu từ phía client không.
Xử lý logic ứng dụng: Sau khi xác minh tính hợp lệ của token, server có thể sử dụng các thông tin trong token để xác định quyền truy cập và thực hiện các logic ứng dụng phù hợp. Ví dụ: xác định người dùng, kiểm tra quyền truy cập, lấy thông tin từ cơ sở dữ liệu, và thực hiện các thao tác khác.
Quan trọng nhất là secret key được sử dụng để ký và giải mã token. Vì vậy, đảm bảo rằng secret key được bảo mật tốt và chỉ chia sẻ giữa server và phía client tin cậy. Bằng cách giữ secret key bí mật, server có thể xác minh tính toàn vẹn và tính hợp lệ của token gửi từ phía client.

hi Hào, cái này thì mình cũng hk có nhiều kinh nghiệm lắm để đánh giá việc này, còn hiện tại theo những gì mình làm thì jwt là đủ òi nè.
Giới hạn token chỉ có hiệu lực 2 tiếng, rồi làm cơ chế refresh token.
Làm việc này thì có thể phát triển cả web, cả app, cả hệ thống khác, còn cookie thì apply được cho web thôi nè.
Đó là theo mình biết thôi hen, còn tuỳ dự án, tuỳ team có thể trao đổi với nhau để chọn một phương pháp phù hợp hen. 😉

Dạ cảm ơn câu trả lời của anh. Tại em cũng muốn làm một project nhỏ cho bản thân mà đang phân vân cơ chế login hihi. Video anh hay lắm. Sau này rảnh anh làm các tut video theo quy trình anh làm việc ở công ty để em tham khảo với :v em vẫn chưa biết quy trình làm một sản phẩm ở một công ty chuyên nghiệp như thế nào hihi

hi Khánh, theo anh thì em chỉ nên tập trung 1 fw để học thôi nhé, a nghĩ em nên xuất phát từ reactjs đi nha Khánh 😉

wohooo cảm ơn em nhiều nhé Shen ơi 😉

hi Vinh, user bình thường ko ai biết cách làm vậy nha Vinh 😉
Với lại đó là tài sản của user nè, nếu user lấy được token thì user cũng biết nó có tác dụng gì, nên nếu họ để lộ ra ngoài là lỗi của họ nhé Vinh 🙂

hi Tiến, việc em render lại cái list khi thêm user mới là đúng òi nè, không cần tối ưu gì thêm nha.
Với em lưu ý khi em render cái list, nó có key cho mỗi item, chỉ có item mới nó mới được thêm vào thôi, còn item cũ nó ko có render lại nên em yên tâm nha. 😉

Easy Frontend vâng ạ.em cảm ơn a nhiều nha❤️

hi Nam ơi, theo mình thấy thì mấy ứng dụng mới sau này thì hầu như ko có xài tới cookie-based auth nữa nè, may be là còn ở hệ thống cũ hoặc mấy cái CMS này nọ hoặc có những cái khác mà mình hk biết hihi

@@EasyFrontend thank bạn.

hi Trí, mình chưa thử với Firebase nên không rõ, nhưng chắc là vậy đó Trí ơi.
Trí mở localStorage lên check thử xem sao nhé 😉

à phía server em có thể set cookies với HTTP_ONLY, như vậy sẽ ko truy cập bằng javascript được.
Còn phía client thì khi tạo cookies thì nó sẽ ko set http-only đc em nhen 😉

hi Long,
1. Ý anh để controlled by là được xử lý bởi server á Long, như ý em nói là đúng òi á.
2. Client side ko thay thế cho server side nha Long. Vì client thì có rất nhiều loại nè, có thể gọi từ web, mobile, terminal, bot, .... nên mình phải check trên server nha Long. Không bao giờ tin tưởng client nào hết nha. 😉

@@EasyFrontend kiến thức bổ ích quá. em cảm ơn anh ạ

Yeahhh cảm ơn em nhiều nhé Vũ ơiiiiii 😍

à lúc đó em sẽ bị trả về lỗi 401 em nha 😉

hihi cảm ơn em nhiều nhé Quỳnh ơi 😍

hi Lim ơi, mấy project ko strictly về tài chính, bảo mật thì lưu ở local storage là okie òi em ơi.
Còn mấy project liên quan tới tài chính thì xử lý ở cookies em nha 😉

@@EasyFrontend vâng ạ, thank you anh

@@EasyFrontend Dạ còn sessionStorage thì sử dụng cho project nào vậy ạ

haha ngon lành, cuối cùng cũng tìm ra được chân lý hehee 😍

hi Thắng, em lưu ở local storage thì dĩ nhiên có risk nè, nếu bị attack trên domain của em thì chắc chắn lấy đc token.
Một số cân nhắc cho em:
- Mức độ security của dự án có cao hk? (thường liên quan tới tài chính thì ko nên lưu ở local storage, còn những web app đơn giản thì okie em nha)
- Giảm thời gian hiệu lực của token để khi bị mất cũng ko thiệt hại nhiều.
- Có cơ chế refresh token và block account khi cần thiết cho trường hợp có nghi vấn.
- Kẹp thêm các điều kiện để phát hiện truy cập lạ, ví dụ token này đi với trình duyệt này, nhưng lại đăng nhập ở nơi khác thì phải xác nhận thêm gì đó, ...
- ...
Em có thể trao đổi thêm với backend để tìm ra solution tương ứng em nha 😉

@@EasyFrontend Em cảm ơn anh ạ.

. hóng :v

hi Mạnh, với 2 câu hỏi trên thì em có thể search google thêm nhen, có nhiều ý kiến lắm nè 😉
Còn theo anh thì:
1. SessionId thường sẽ được lưu vào db luôn nè, để trường hợp em có nhiều frontend khác nhau thì nó còn xử lý được, chứ trên RAM là chịu thua luôn, với nếu nhiều session thì e xử lý trên RAM hơi căng. Có thể e dùng thêm redis cache để xử lý vấn đề này cũng đc :)
2. Token thì mình nên lưu ở localstorage em nha, về bảo mật thì hầu hết các tình huống đều okie nè. Em lưu trong cookie thì nó lại quay về bài toán cookie ko cross domain đc, ko tương thích trên web với native app. Bản chất thì em muốn lưu đâu cũng đc, nhưng recommend vẫn là local storage nhé! 🙂

Easy Frontend em cảm ơn ạ

#1. Theo mình nó còn tùy vào nhu cầu app của bạn:
- 1.1 Có cần scale hay ko: nên lưu ở Redis or DB để những nơi khác có thể achieve đc.
- 1.2 Khi app bị shutdown thì chuyện ji xảy ra: User có còn đc duy trì đăng nhập khi app đc start -> Lại qua về 1.1
- 1.3 Thật ra không xài token-based auth mà dùng cookie thì vẫn có hướng đi đó là "FormsAuthentication": Lúc này cookie token gửi cho client là encoded string (machineKey, validation type (SHA1) và decryption (AES) nằm ở web config).
#2. Như anh Hậu chia sẻ thì rõ ràng dù là cookie hay token lưu ở bất kì đâu, việc bảo quản nó là việc nên làm của user. Bên .net web app có khái niệm gọi là "@Html.AntiForgeryToken()" để tránh tình trạng Cross-site request forgery (CSRF).
~ Phong Nguyễn ~

hi em ơi, cái này thì mình chỉ có cách hạn chế chứ hk có cách nào chặn hoàn toàn nè.
Cái token em nên để thời gian hiệu lực khoảng 2 giờ thôi nè, để lỡ khi có mất thì nó cũng hk còn hiệu lực bao lâu để sử dụng, hoặc nhiều khi nó đã expired mất tiu rồi hehee Còn em mà dùng token ko bao giờ expired thì hơi nguy hiểm. Còn việc chặn hacker thì chắc ko đc đâu em, nếu được thì mấy hệ thống lớn, bự nó ko bị tấn công đâu nè 😉

@@EasyFrontend Vâng em cám ơn

hihi cảm ơn em nhiều nhé Tùng 😉

FREE SOFTWARE hi em, token tạo ra rồi trả về bên client nhé em, server ko cần lưu nè, khi nào client gửi token đó lên thì server sẽ validate cái token xem hợp kệ hay ko thôi nhen 😉

@@EasyFrontend Ad có thể nói rõ việc server validate token đó lại không ạ. Nếu client edit token thì server sao biết dc nhỉ trong trường hợp nó ko lưu lại

@@gauphepha493 server sẽ có secrect key kết hợp (lúc tạo ra) token và dùng để compare khi client gửi lên nhe

hahaa max-speed rồi em ơi, hôm giờ sml quá 😅

Yeah chuẩn bị làm rồi nha Hiếu ơi, giải thích một vài khái niệm trước, xong anh mới code nhen hehe

Easy Frontend hóng lắm video của anh

hi Tiến, video này mình làm 2 năm trc òi, hk biết mình sai chỗ nào, nhờ bạn nói rõ thêm để mình học hỏi nhé 🙏