JWT là gì?

JWT (JSON Web Token) là một chuẩn mở (RFC 7519) định nghĩa cách thức an toàn để truyền thông tin giữa các bên dưới dạng đối tượng JSON. Thông tin này có thể được xác minh và đáng tin cậy vì đã được ký số. JWT có thể được ký bằng một thuật toán bí mật (sử dụng HMAC) hoặc cặp khóa công khai/riêng tư (sử dụng RSA hoặc ECDSA).

JWT là gì? Hiểu một cách đơn giản JWT là một chuỗi được mã hóa chứa thông tin xác thực và dữ liệu, cho phép hệ thống nhận diện người dùng mà không cần lưu trữ thông tin trạng thái trên server. JWT giống như một "hộ chiếu kỹ thuật số" - khi bạn đăng nhập, server cấp cho bạn một "hộ chiếu" chứa thông tin xác thực. Sau đó, bạn dùng "hộ chiếu" này để chứng minh danh tính trong mỗi request tiếp theo.

Mỗi JWT bao gồm ba phần chính: Header, Payload và Signature, được phân tách bằng dấu chấm (.). Cấu trúc sẽ như sau:

xxxxx.yyyyy.zzzzz

Trong đó, xxxxx là Header, yyyyy là Payload, và zzzzz là Signature.

JWT là một chuỗi được mã hóa chứa thông tin xác thực và dữ liệu

Cấu trúc của JWT

Ba thành phần quan trọng của JWT bao gồm:

• Header: Chứa thông tin về loại token và thuật toán mã hóa
• Payload: Chứa các thông tin chi tiết (claims) về người dùng hoặc dữ liệu bổ sung
• Signature: Dùng để xác minh token không bị thay đổi trong quá trình truyền tải

Header thường chứa hai thông tin: loại token (typ) là JWT và thuật toán ký số được sử dụng (alg) như HMAC SHA256 hoặc RSA. Header được mã hóa base64Url tạo thành phần đầu tiên của JWT.

Payload chứa các claims (thông tin xác thực). Claims có thể là thông tin về người dùng (như ID, tên, email), thời gian hết hạn của token, hoặc bất kỳ dữ liệu nào khác. Payload cũng được mã hóa base64Url để tạo thành phần thứ hai của JWT.

Signature là thành phần quan trọng nhất, được tạo bằng cách kết hợp header đã mã hóa, payload đã mã hóa, một khóa bí mật, và áp dụng thuật toán đã khai báo trong header. Signature giúp đảm bảo rằng dữ liệu không bị sửa đổi trong quá trình truyền tải.

Ba thành phần quan trọng của JWT

JWT hoạt động như thế nào?

Để hiểu rõ cách JWT hoạt động, chúng ta cần phân tích quy trình tạo token và xác thực token trong một hệ thống thực tế. Đây là quy trình ở mức cơ bản nhưng đầy đủ để bạn nắm được nguyên lý hoạt động của JWT.

Quy trình tạo JWT

Khi người dùng đăng nhập vào hệ thống, quá trình tạo JWT diễn ra như sau:

1. Người dùng gửi thông tin đăng nhập (thường là username/email và password) đến server.
2. Server xác thực thông tin đăng nhập với dữ liệu trong cơ sở dữ liệu.
3. Nếu thông tin hợp lệ, server tạo ra một JWT bằng cách:
• Tạo header với thông tin về thuật toán mã hóa
• Tạo payload với thông tin người dùng, quyền hạn, thời gian hết hạn, v.v.
• Tạo signature bằng cách ký header và payload với một khóa bí mật
4. Server gửi JWT về cho client.
5. Client lưu trữ token (thường trong localStorage, sessionStorage hoặc cookie).

Quy trình xác thực JWT

Sau khi client nhận được JWT, quá trình xác thực diễn ra như sau trong mỗi request tiếp theo:

1. Client gửi JWT kèm theo mỗi request đến server (thường trong header Authorization).
2. Server nhận request và trích xuất JWT từ header.
3. Server kiểm tra tính hợp lệ của token bằng cách:
• Xác thực signature bằng khóa bí mật để đảm bảo token không bị sửa đổi
• Kiểm tra thời gian hết hạn (nếu có)
• Kiểm tra các điều kiện khác (nếu cần)
4. Nếu token hợp lệ, server xác định quyền truy cập của người dùng dựa trên thông tin trong payload.
5. Server xử lý request và trả về response tương ứng.

Đặc biệt, server không cần lưu trữ token, giúp hệ thống dễ dàng mở rộng (stateless) - đây là một ưu điểm lớn của JWT so với phương pháp xác thực truyền thống.

Quy trình hoạt động cơ bản của JWT

JWT dùng để làm gì?

JWT đã trở thành một công nghệ phổ biến trong phát triển web hiện đại nhờ tính linh hoạt và hiệu quả của nó. Hãy tìm hiểu những ứng dụng chính của JWT trong thực tế.

 Xác thực người dùng (Authentication)

JWT cung cấp một cơ chế xác thực mạnh mẽ thay thế cho phương pháp session truyền thống. Với cách tiếp cận truyền thống, server phải duy trì thông tin session cho mỗi người dùng đã đăng nhập, thường lưu trong bộ nhớ hoặc cơ sở dữ liệu. Điều này tạo ra áp lực lớn khi số lượng người dùng tăng.

JWT giải quyết vấn đề này bằng cách chuyển trách nhiệm lưu trữ thông tin xác thực sang phía client. Server chỉ cần xác minh tính hợp lệ của token mà không cần truy vấn cơ sở dữ liệu, giúp tăng hiệu suất và khả năng mở rộng của hệ thống.

Phân quyền truy cập (Authorization)

Ngoài việc xác thực người dùng, JWT còn được sử dụng rộng rãi trong phân quyền truy cập. Payload của JWT có thể chứa thông tin về vai trò và quyền hạn của người dùng, cho phép server kiểm soát truy cập vào tài nguyên một cách chi tiết.

Ví dụ, một token có thể chứa claim "role": "admin", cho biết người dùng có quyền truy cập vào các chức năng quản trị. Server có thể kiểm tra quyền này trước khi cho phép người dùng thực hiện các hành động nhạy cảm, tất cả mà không cần truy vấn cơ sở dữ liệu.

Các ứng dụng phổ biến

JWT được áp dụng rộng rãi trong nhiều kịch bản khác nhau:

• RESTful API: JWT là phương pháp xác thực phổ biến cho các API RESTful, giúp bảo vệ endpoints và xác định quyền truy cập.
• Single Sign-On (SSO): JWT cho phép người dùng đăng nhập một lần và truy cập nhiều ứng dụng khác nhau mà không cần đăng nhập lại.
• Microservices: Trong kiến trúc microservices, JWT giúp truyền thông tin xác thực giữa các dịch vụ một cách an toàn và hiệu quả.
• Mobile Applications: JWT rất phù hợp cho ứng dụng di động, nơi việc duy trì kết nối liên tục có thể gặp khó khăn.
• Serverless Functions: Trong môi trường serverless, JWT cung cấp phương pháp xác thực không cần trạng thái, rất phù hợp với tính chất ngắn hạn của các function.

Bạn đọc tham khảo thêm: 

SCSS là gì? Cách viết CSS như lập trình viên chuyên nghiệp

Bitbucket là gì? Cách hoạt động, ưu điểm và tính năng nổi bật

JWT có an toàn không?

Khi triển khai bất kỳ giải pháp bảo mật nào, việc đánh giá độ an toàn là vô cùng quan trọng. Hãy phân tích ưu điểm và rủi ro bảo mật khi sử dụng JWT.

Ưu điểm về bảo mật

JWT cung cấp một số lợi thế bảo mật đáng kể:

Đầu tiên, JWT là stateless - server không cần lưu trữ thông tin session, giảm thiểu rủi ro tấn công dựa trên session. Không có sessionID được lưu trữ trên server đồng nghĩa với việc không có điểm yếu để kẻ tấn công khai thác thông qua các phương pháp như session hijacking truyền thống.

Thứ hai, signature trong JWT đảm bảo tính toàn vẹn của dữ liệu. Nếu bất kỳ phần nào của token bị sửa đổi, signature sẽ không còn hợp lệ và server sẽ từ chối token. Điều này ngăn chặn việc giả mạo hoặc sửa đổi thông tin xác thực.

Cuối cùng, JWT có thể được mã hóa để bảo vệ thông tin nhạy cảm trong payload. Mặc dù header và payload chỉ được mã hóa base64 (không phải mã hóa an toàn), bạn có thể sử dụng JWE (JSON Web Encryption) để mã hóa toàn bộ nội dung token.

Các rủi ro bảo mật

Mặc dù có nhiều ưu điểm, JWT cũng tồn tại một số rủi ro bảo mật nếu triển khai không đúng cách:

Một lỗ hổng phổ biến là lưu trữ JWT trong localStorage, khiến token dễ bị tấn công XSS (Cross-Site Scripting). Nếu kẻ tấn công có thể chèn mã JavaScript độc hại vào trang web, họ có thể truy cập localStorage và đánh cắp token. Giải pháp an toàn hơn là sử dụng cookie với thuộc tính HttpOnly và Secure.

Một rủi ro khác liên quan đến thuật toán ký. Một số thư viện JWT hỗ trợ thuật toán "none", cho phép tạo token không có signature. Kẻ tấn công có thể thay đổi thuật toán thành "none" để bỏ qua quá trình xác thực. Để ngăn chặn điều này, server nên luôn kiểm tra và chỉ chấp nhận các thuật toán mã hóa an toàn.

Ngoài ra, JWT thường không có cơ chế thu hồi tích hợp. Khi token được cấp, nó sẽ hợp lệ cho đến khi hết hạn, ngay cả khi quyền truy cập của người dùng đã bị thu hồi. Để giải quyết vấn đề này, bạn có thể triển khai danh sách token bị từ chối (blacklist) hoặc sử dụng thời gian hết hạn ngắn kết hợp với token làm mới (refresh token).

Mặc dù có nhiều ưu điểm, JWT cũng tồn tại một số rủi ro bảo mật nếu triển khai không đúng cách

Khi nào nên và không nên dùng JWT?

Việc lựa chọn sử dụng JWT phụ thuộc vào nhiều yếu tố, từ yêu cầu kỹ thuật đến đặc thù của dự án. Hãy xem xét các trường hợp nên và không nên sử dụng JWT.

Trường hợp nên dùng

JWT là lựa chọn lý tưởng trong những trường hợp sau:

• Hệ thống phân tán không lưu trạng thái: Nếu bạn xây dựng một hệ thống phân tán với nhiều server xử lý request, JWT giúp bạn tránh phải đồng bộ hóa thông tin session giữa các server. Mỗi server có thể độc lập xác thực token mà không cần truy cập cơ sở dữ liệu chung.
• Kiến trúc microservices: Trong môi trường microservices, JWT là phương pháp hiệu quả để truyền thông tin xác thực giữa các dịch vụ. Token có thể chứa đủ thông tin để mỗi dịch vụ xác định quyền hạn của người dùng mà không cần giao tiếp với dịch vụ xác thực trung tâm.
• API Gateway: Khi triển khai API Gateway làm điểm truy cập chung cho nhiều backend service, JWT giúp quản lý xác thực và phân quyền một cách hiệu quả tại lớp gateway.
• Ứng dụng SPA (Single Page Application): Các ứng dụng SPA thường giao tiếp với server thông qua API, và JWT cung cấp phương pháp xác thực phù hợp cho kiểu kiến trúc này.

Trường hợp không nên dùng

Tuy nhiên, có những tình huống JWT có thể không phải lựa chọn tối ưu:

• Hệ thống nhỏ, đơn giản: Đối với các ứng dụng web nhỏ không cần khả năng mở rộng cao, giải pháp session truyền thống có thể đơn giản hơn và dễ triển khai hơn.
• Yêu cầu thu hồi quyền truy cập ngay lập tức: Nếu ứng dụng của bạn cần khả năng thu hồi quyền truy cập ngay lập tức (ví dụ: trong các hệ thống tài chính hoặc y tế), session truyền thống có thể phù hợp hơn vì bạn có thể xóa session tức thì.
• Lưu trữ lượng lớn dữ liệu người dùng: JWT không thích hợp để lưu trữ lượng lớn dữ liệu vì nó làm tăng kích thước của mỗi request. Nếu bạn cần lưu trữ nhiều dữ liệu người dùng, tốt hơn là chỉ lưu ID và các thông tin cần thiết trong token, còn lại lưu trên server.
• Ứng dụng yêu cầu bảo mật cực cao: Trong một số trường hợp đặc biệt yêu cầu bảo mật cao, bạn có thể cần các giải pháp phức tạp hơn như xác thực hai yếu tố, hoặc các cơ chế xác thực tùy chỉnh.

Việc lựa chọn sử dụng JWT phụ thuộc vào nhiều yếu tố

Như vậy, bài viết trên đã giúp bạn giải đáp thắc mắc về JWT là gì? Việc cân nhắc kỹ lưỡng ngữ cảnh ứng dụng và yêu cầu bảo mật sẽ giúp bạn quyết định liệu JWT có phải là lựa chọn phù hợp cho dự án của mình. Devwork hy vọng bài viết này giúp bạn hiểu rõ hơn về công nghệ quan trọng này trong hành trình phát triển web của mình.