Ghi Chú

Ghi chú nhanh, chia sẻ dễ dàng

Soạn thảo Đơn giản, dễ dàng. Hỗ trợ định dạng văn bản, danh sách, khối code.

Chia sẻ Chuyển sang Công khai để nhận link 5 ký tự. Có thể đặt mật khẩu bảo vệ.

Đính kèm Chèn ảnh hoặc đính kèm file từ thanh công cụ soạn thảo.

Tự động lưu Nội dung được lưu tự động sau 2 giây. Lịch sử chỉnh sửa lưu tối đa 100 phiên bản.

Nâng cao Tự xóa sau thời gian hoặc số lượt đọc. Ghim, khóa chỉ đọc từ sidebar.

Đọc trên Terminal Thêm .txt vào cuối link để xem nội dung dạng văn bản thuần trên terminal.

Hướng dẫn tích hợp OAuth 2.0 bảo vệ API REST và WebSocket

Tác giả: dev_viet_84 — 19/03/2026

Hướng dẫn tích hợp OAuth 2.0 để bảo vệ API REST và WebSocket trong ứng dụng hiện đại

Trong kỷ nguyên số, việc bảo mật giao tiếp giữa máy khách (client) và máy chủ (server) không chỉ là một lựa chọn mà là một yêu cầu bắt buộc. Khi xây dựng các hệ thống phân tán, chúng ta thường phải đối mặt với bài toán quản lý quyền truy cập an toàn cho cả dữ liệu có cấu trúc qua giao thức REST và các luồng dữ liệu thời gian thực qua WebSocket. OAuth 2.0 là tiêu chuẩn ngành được sử dụng rộng rãi nhất để giải quyết vấn đề ủy quyền (authorization) này. Bài viết này sẽ đi sâu vào quy trình tích hợp OAuth 2.0 vào một hệ thống backend, nơi máy chủ không chỉ phục vụ các yêu cầu HTTP mà còn quản lý các kết nối WebSocket bền vững, đảm bảo rằng chỉ những người dùng đã xác thực mới có thể truy cập dữ liệu nhạy cảm hoặc tham gia vào các kênh thời gian thực.

Mục tiêu của hướng dẫn này là thiết lập một cơ chế xác thực dựa trên token (JWT - JSON Web Token) sử dụng quy trình Authorization Code với PKCE (Proof Key for Code Exchange). Đây là phương pháp an toàn nhất hiện nay cho các ứng dụng đơn trang (SPA) hoặc ứng dụng di động, giúp ngăn chặn các cuộc tấn công man-in-the-middle và bảo vệ mã thông báo xác thực trước khi nó được trao đổi lấy token truy cập.

Kiến trúc và nguyên lý hoạt động của luồng bảo mật

Trước khi đi vào code, cần hiểu rõ cách thức hoạt động của luồng này trong bối cảnh kết hợp giữa REST và WebSocket. Khác với các mô hình xác thực đơn giản dựa trên session cookie, OAuth 2.0 hoạt động dựa trên sự trao đổi các mã truy cập (access token). Khi người dùng đăng nhập, họ nhận được một cặp token: Access Token (ngắn hạn, dùng để gọi API) và Refresh Token (dài hạn, dùng để đổi mới Access Token khi hết hạn).

Đối với các yêu cầu REST, token sẽ được truyền đi trong header Authorization của mỗi request. Tuy nhiên, WebSocket lại phức tạp hơn vì đây là một kết nối lâu dài (persistent connection) được thiết lập một lần và giữ nguyên trong suốt phiên làm việc. Do đó, quá trình xác thực WebSocket thường xảy ra ngay tại thời điểm handshake (tiến trình bắt tay) khi thiết lập kết nối, hoặc ngay trong tin nhắn đầu tiên gửi đi sau khi kết nối được tạo. Trong hướng dẫn này, chúng ta sẽ áp dụng phương pháp truyền token trong phần query string hoặc header nâng cao của yêu cầu handshake để server có thể kiểm tra và mở khóa kênh truyền dẫn ngay lập tức, loại bỏ người dùng chưa đăng nhập khỏi socket pool.

Cấu hình môi trường và chuẩn bị dự án

Để thực hiện ví dụ này, chúng ta sẽ sử dụng Node.js với framework Express để xử lý các yêu cầu REST và thư viện ws để quản lý WebSocket. Bạn cần cài đặt các gói cần thiết cho việc tạo và xác minh JWT, cũng như xử lý các yêu cầu OAuth. Môi trường sẽ giả lập một máy chủ cung cấp API và một máy chủ WebSocket đã được bảo vệ.

Bước đầu tiên là khởi tạo dự án và cài đặt các thư viện nền tảng. Hãy chạy lệnh sau trong thư mục làm việc của bạn để tạo file package.json và cài đặt các phụ thuộc cần thiết như express cho web server, ws cho WebSocket, và jsonwebtoken để xử lý logic bảo mật OAuth dựa trên token.

npm init -y && npm install express ws jsonwebtoken cors dotenv

Sau khi cài đặt xong, chúng ta cần tạo một file cấu hình môi trường để lưu trữ các bí mật (secret keys). Việc tách biệt các thông tin nhạy cảm khỏi code là nguyên tắc vàng trong bảo mật. Hãy tạo file .env với nội dung chứa khóa bí mật dùng để ký token.

echo "JWT_SECRET=chuan_kiem_doi_bien_thanh_thuc_goc" > .env

Đảm bảo bạn đã cài đặt thư viện dotenv để đọc file này trong code ứng dụng của mình. Việc này giúp ứng dụng có thể lấy biến môi trường một cách an toàn và linh hoạt khi triển khai trên các môi trường sản xuất khác nhau.

Triển khai logic cấp phát và xác thực Token

Cốt lõi của OAuth 2.0 trong kịch bản này là việc phát hành và xác minh JWT. Chúng ta sẽ tạo một helper function để ký (sign) token và một middleware để xác minh (verify) token. Logic này sẽ được sử dụng chung cho cả các endpoint REST và quy trình kết nối WebSocket.

Bạn cần tạo một file server.js để chứa logic chính. Đầu tiên, hãy cấu hình Express để sử dụng CORS và đọc file môi trường. Sau đó, định nghĩa hàm tạo token. Hàm này sẽ nhận thông tin người dùng và trả về một chuỗi ký tự mã hóa, trong đó chứa payload là dữ liệu người dùng và header là loại ký (HS256). Token này sẽ có thời gian sống (TTL) ngắn, ví dụ 15 phút, để giảm thiểu rủi ro nếu token bị đánh cắp.

require('dotenv').config();
const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();
const PORT = 3000;

// Hàm tạo Access Token
function generateAccessToken(user) {
  return jwt.sign({ 
    userId: user.id, 
    username: user.name, 
    role: user.role 
  }, process.env.JWT_SECRET, { expiresIn: '15m' });
}

// Middleware xác thực cho REST API
const authenticateToken = (req, res, next) => {
  const authHeader = req.headers['authorization'];
  const token = authHeader && authHeader.split(' ')[1]; // Bỏ "Bearer "

  if (token == null) return res.sendStatus(401);

  jwt.verify(token, process.env.JWT_SECRET, (err, user) => {
    if (err) return res.sendStatus(403);
    req.user = user;
    next();
  });
};

Middleware authenticateToken ở trên đóng vai trò như một cổng kiểm soát an ninh cho mọi endpoint REST. Nó sẽ chặn bất kỳ yêu cầu nào không có token hợp lệ trong header Authorization. Lưu ý rằng phần sau dấu cách của header phải là chuỗi token, theo đúng chuẩn Bearer Token của OAuth 2.0.

Tích hợp xác thực vào kết nối WebSocket

Thách thức lớn nhất là áp dụng logic xác thực trên vào WebSocket. WebSocket không gửi header Authorization theo chuẩn HTTP như REST. Thay vào đó, khi client gửi yêu cầu upgrade từ HTTP sang WebSocket, server sẽ nhận được URL yêu cầu kết nối. Chúng ta có thể mã hóa token vào query parameter của URL này hoặc yêu cầu client gửi token trong một gói tin (frame) đầu tiên.

Tuỳ chọn phổ biến và an toàn hơn cho handshake là sử dụng query parameter. Client sẽ gửi yêu cầu dạng ws://localhost:3000/socket?token=TOKEN_DANG_CAP_PHAT. Server sẽ chặn kết nối ngay tại sự kiện upgrade hoặc connection nếu token không hợp lệ. Dưới đây là cách thiết lập server WebSocket với sự kiểm tra token ngay khi kết nối được thiết lập.

const WebSocket = require('ws');
const url = require('url');

const wss = new WebSocket.Server({ port: 3000, noServer: true }); // Chạy chung port với Express

app.on('upgrade', (request, socket, head) => {
  const location = request.url;
  const parsedUrl = url.parse(location);
  const token = parsedUrl.query ? parsedUrl.query.split('&').find(p => p.startsWith('token=')).split('=')[1] : null;

  if (!token) {
    socket.write('HTTP/1.1 401 Unauthorized\r\n\r\n');
    socket.destroy();
    return;
  }

  // Xác minh token giống như với REST
  jwt.verify(token, process.env.JWT_SECRET, (err, user) => {
    if (err) {
      socket.write('HTTP/1.1 403 Forbidden\r\n\r\n');
      socket.destroy();
      return;
    }

    // Nếu hợp lệ, chuyển tiếp upgrade
    wss.handleUpgrade(request, socket, head, (ws) => {
      wss.emit('connection', ws, request);
      // Gắn thông tin người dùng vào socket
      ws.user = user; 
      ws.send('Kết nối thành công. Chào mừng, ' + user.username);
    });
  });
});

Đoạn code trên thực hiện việc chặn connection ở mức thấp nhất. Nếu token không tồn tại hoặc bị sai ký, socket sẽ bị đóng ngay lập tức với mã lỗi 401 hoặc 403, ngăn chặn hoàn toàn việc client không được phép xâm nhập vào hệ thống. Biến ws.user sẽ được sử dụng sau này để định danh người dùng khi họ gửi hoặc nhận tin nhắn.

Cách client thực hiện kết nối an toàn

Về phía client (trình duyệt hoặc ứng dụng di động), quy trình sẽ bao gồm hai bước chính. Đầu tiên là gọi API REST để đăng nhập và nhận token. Sau đó, sử dụng token này để thiết lập kết nối WebSocket. Nếu bạn đang sử dụng JavaScript thuần, bạn có thể tạo một hàm để thiết lập kết nối bằng cách đính kèm token vào URL.

Giả sử bạn đã gọi API /login và nhận được một đối tượng chứa accessToken. Bạn sẽ dùng token đó để khởi tạo WebSocket như sau. Hãy lưu ý rằng việc truyền token qua query string trong WebSocket không được mã hóa HTTPS (TLS) là rất nguy hiểm. Do đó, môi trường sản xuất bắt buộc phải sử dụng wss:// thay vì ws:// để đảm bảo toàn bộ kết nối được mã hóa.

const accessToken = 'token_dung_thuc_tu_api_login'; // Giả định đã có token
const socketUrl = `wss://api.cua-ban.com/socket?token=${accessToken}`;

const socket = new WebSocket(socketUrl);

socket.onopen = function() {
  console.log('WebSocket đã kết nối an toàn');
};

socket.onmessage = function(event) {
  console.log('Tin nhắn nhận được:', event.data);
};

socket.onclose = function() {
  console.log('Kết nối đã bị đóng');
};

socket.onerror = function(error) {
  console.error('Lỗi kết nối WebSocket:', error);
};

Trong trường hợp thực tế, bạn nên lưu token trong bộ nhớ cục bộ (localStorage hoặc sessionStorage) của trình duyệt và chỉ lấy ra khi cần thiết để tạo kết nối, tránh việc token bị lộ trong các log không an toàn.

Lưu ý quan trọng về bảo mật và quản lý vòng đời Token

Một vấn đề lớn khi làm việc với WebSocket và Token ngắn hạn là xử lý hết hạn token. Khi access token hết hạn (sau 15 phút), kết nối WebSocket vẫn đang mở. Nếu server không có cơ chế kiểm tra định kỳ hoặc client không có cơ chế tự động làm mới token, người dùng có thể bị ngắt kết nối hoặc tin nhắn quan trọng bị mất.

Cần thiết lập cơ chế Refresh Token. Client nên lưu trữ Refresh Token (có thời hạn dài, ví dụ 7 ngày) trong nơi an toàn. Khi access token sắp hết hạn, client gọi API /refresh-token để lấy access token mới. Đối với WebSocket, khi nhận được token mới, client có thể gửi một gói tin đặc biệt UPDATE_TOKEN đến server để server cập nhật thông tin phiên làm việc mà không cần đóng kết nối, hoặc client đóng kết nối cũ và mở kết nối mới với token mới. Tùy thuộc vào yêu cầu tính liên tục của ứng dụng mà bạn chọn giải pháp phù hợp.

Thêm vào đó, hãy luôn sử dụng HTTPS cho REST API và WSS (WebSocket Secure) cho WebSocket. Không bao giờ triển khai OAuth 2.0 qua giao thức không mã hóa. Nếu token bị đánh cắp trên đường truyền, kẻ tấn công có thể impersonate (ngụy trang) người dùng một cách dễ dàng. Ngoài ra, hãy hạn chế scope (phạm vi) của token. Đừng cấp quyền admin cho người dùng thường chỉ vì họ đã đăng nhập. Sử dụng claim role trong JWT để kiểm soát quyền hạn truy cập các tài nguyên cụ thể.

Kết luận

Việc tích hợp OAuth 2.0 vào kiến trúc kết hợp giữa REST API và WebSocket mang lại một nền tảng bảo mật vững chắc cho các ứng dụng hiện đại. Bằng cách sử dụng JWT làm trung gian và áp dụng cơ chế xác thực ngay tại điểm kết nối handshake, chúng ta đã tạo ra một rào chắn an toàn ngăn chặn truy cập trái phép mà không làm giảm trải nghiệm thời gian thực cho người dùng. Dù quá trình triển khai yêu cầu sự cẩn trọng trong việc quản lý vòng đời token và bảo vệ giao thức truyền tải, nhưng lợi ích về bảo mật và khả năng mở rộng là không thể phủ nhận. Hy vọng hướng dẫn này đã cung cấp cho bạn những bước đi cụ thể và logic rõ ràng để xây dựng hệ thống bảo mật chuyên nghiệp cho dự án của mình.