Home Lập Trình JSON Web Token: Vấn đề xác thực REST API với JWT

JSON Web Token: Vấn đề xác thực REST API với JWT

2026
xác thực REST API với JWT

Hôm nay chúng ta sẽ tìm hiểu một vấn đề khá nổi đối với JSON Web Token, đó là xác thực REST API với JWT. Cùng bắt đầu nhé!

Yêu cầu người đọc

Sơ lược 

Restful api là gì?

REST (REpresentational State Transfer) được đưa ra vào năm 2000, trong luận văn tiến sĩ của Roy Thomas Fielding (đồng sáng lập giao thức HTTP). Nó là một dạng chuyển đổi cấu trúc dữ liệu, là một phong cách kiến trúc cho việc thiết kế các ứng dụng có kết nối.

Nó sử dụng HTTP đơn giản để tạo cho giao tiếp giữa các máy. Vì vậy, thay vì sử dụng một URL cho việc xử lý một số thông tin người dùng, REST gửi một yêu cầu HTTP như GET, POST, DELETE,… đến một URL để xử lý dữ liệu.

Nguồn (https://movan.vn)

JSON Web Token là gì? 

JSON Web Token (JWT) là một chuẩn mở (RFC 7519) định nghĩa một cách nhỏ gọn và khép kín để truyền một cách an toàn thông tin giữa các bên dưới dạng đối tượng JSON.

Xem thêm JSON là gì?

Thông tin này có thể được xác minh và đáng tin cậy vì nó có chứa chữ ký số. JWTs có thể được ký bằng một thuật toán bí mật (với thuật toán HMAC) hoặc một public / private key sử dụng mã hoá RSA.

Ví dụ:

Nguồn https://viblo.asia

Tại sao lại xác thực REST API (Nodejs) với JWT(JSON Web Token)? 

Đây là một câu hỏi quan trọng giúp các bạn hiểu thêm về security trong việc phát triển một restful api. Tất nhiên đây chỉ là một phần security trong rất rất nhiều phần security còn lại.

Ví dụ: Bạn có một link rest api: https://domain.com/users/getAll Nhìn sơ qua các bạn cũng thấy nhiệm vụ của nó là gì? Đó chính là lấy tất cả các user hiện có trong collection users.

Nếu như link này bất cứ ai cũng có thể truy cập được và lấy nó thì hậu quả như thế nào? Cho nên mới có việc xác thực một ai đó được cấp quyền mới lấy được những user đó. Vậy cho nên chúng ta mới sử dụng JSON Web Token để giải quyết vấn đề đó.

Quy trình việc xác thực JWT và restful nodejs. 

5 step giúp chúng ta hiểu nhanh hơn 

  1. Client gửi passWord, nameUser tới server nhằm để xác thực việc đăng nhập 
  2. Nếu login thành công back-end sẽ tạo ra một generate a random String dạng json web token gửi về cho client 
  3. Client nhận token đó, rồi lưu trữ ở đâu đó (cookies, storageSession..) 
  4. Khi client muốn get data gì đó thì luôn gửi kèm token này lên cùng với http request. 
  5. Server nhận được http request từ client thì check token này available hay không? Rồi cho đi tiếp, còn không chặn lại, và có thể report ip này. 

Build một resful api với JWT(JSON Web Token) 

install project

index.js

configurations/config.js

Đến đây run phát  xem chạy chưa?

Mở trình duyệt của bạn lên và vào http://localhost:3000/

Ok tiếp chạy rồi.

Setting up the authentication system 

Viết trong file index.js, giả sử password và user trong database tương ứng là 123 và anonystick:

Giờ chạy trên postman xem sao nhé. OK rồi.

xác thực REST API với JWT

Client có token rồi. Test tiếp nè. Setting routes:

Xong, chúng ta sẽ so sánh hai cách lấy dữ liệu xem thế nào?

Không có Token:xác thực REST API với JWT

Có Token:
xác thực REST API với JWT

Kết luận

Bài này chúng tôi lấy ví dụ từ dev. to để giúp các bạn nhìn rõ hơn việc xác thực bảo mật trong restful quan trọng như thế nào? Chú ý rằng đây không phải là cách duy nhất trong việc bảo mật, nhưng cũng là một cách an toàn và dễ dàng đối với bất cứ mộ developer nào.

Source code: https://github.com/medaymenTN/JWTNodeJS

Có thể bạn quan tâm:

Xem thêm việc làm Software Developers hot nhất trên TopDev

TopDev via anonystick