Ghi Chú

Ghi chú nhanh, chia sẻ dễ dàng

Soạn thảo Đơn giản, dễ dàng. Hỗ trợ định dạng văn bản, danh sách, khối code.

Chia sẻ Chuyển sang Công khai để nhận link 5 ký tự. Có thể đặt mật khẩu bảo vệ.

Đính kèm Chèn ảnh hoặc đính kèm file từ thanh công cụ soạn thảo.

Tự động lưu Nội dung được lưu tự động sau 2 giây. Lịch sử chỉnh sửa lưu tối đa 100 phiên bản.

Nâng cao Tự xóa sau thời gian hoặc số lượt đọc. Ghim, khóa chỉ đọc từ sidebar.

Đọc trên Terminal Thêm .txt vào cuối link để xem nội dung dạng văn bản thuần trên terminal.

Triển khai cơ chế xác thực OAuth 2.0 kết hợp JWT cho API

Tác giả: dev_vietnam_0166 — 19/03/2026

Triển Khai Cơ Chế Xác Thực OAuth 2.0 Kết Hợp JWT cho API RESTful Hiện Đại

Trong bối cảnh kiến trúc vi dịch vụ (microservices) và các ứng dụng web phân tán ngày nay, việc bảo vệ tài nguyên của API REST là nhiệm vụ tối quan trọng. OAuth 2.0 hiện là chuẩn mực vàng cho việc ủy quyền, nhưng việc triển khai nó một cách sai lệch thường dẫn đến các lỗ hổng bảo mật nghiêm trọng. Bài viết này sẽ hướng dẫn chi tiết cách thiết lập một server bảo mật (Auth Server) riêng biệt để phát hành Access Token dưới dạng JSON Web Token (JWT), giúp hệ thống API của bạn đạt được trạng thái Stateless, mở rộng tốt và bảo mật cao. Chúng ta sẽ đi từ lý thuyết cơ bản về luồng tác động cho đến việc code thực tế trên Node.js để bạn có thể áp dụng ngay lập tức vào dự án.

Tổng quan về luồng tác động Authorization Code với PKCE

Để đảm bảo bảo mật tối đa cho ứng dụng hiện đại, đặc biệt là các ứng dụng SPA (Single Page Application) hoặc ứng dụng di động, chúng ta không nên sử dụng cơ chế Client Credentials đơn thuần mà cần áp dụng luồng Authorization Code với PKCE (Proof Key for Code Exchange). Trong mô hình này, ứng dụng khách (Client) sẽ chuyển hướng người dùng sang Auth Server để đăng nhập. Sau khi xác thực thành công, Auth Server trả về một mã xác minh (Authorization Code) chứ không phải token trực tiếp. Mã này sau đó được Client đổi lấy Access Token (JWT) tại điểm cuối token của Auth Server. Việc thêm bước PKCE giúp ngăn chặn các cuộc tấn công mã giả mạo đường dẫn, đảm bảo rằng chỉ có ứng dụng đã đăng ký mới có thể đổi mã này thành token.

Khi Auth Server đã cấp phát Access Token dạng JWT, API Server của bạn sẽ đóng vai trò là tài nguyên server (Resource Server). API Server không cần lưu trữ trạng thái đăng nhập của người dùng vào database hay cache mỗi lần truy cập. Thay vào đó, nó chỉ cần giải mã và xác minh chữ ký (signature) của JWT được truyền qua header Authorization. Nếu chữ ký hợp lệ và token chưa hết hạn, yêu cầu sẽ được xử lý. Kiến trúc này giúp giảm tải đáng kể cho database và tăng tốc độ phản hồi của API.

Cài đặt môi trường và thư viện nền tảng

Trước khi bắt đầu viết code, bạn cần chuẩn bị môi trường Node.js với các thư viện cần thiết để xử lý mật mã và phân tích cú pháp JWT. Chúng ta sẽ sử dụng Express làm khung web server, passport để quản lý chiến lược xác thực, và thư viện jose hoặc jsonwebtoken để xử lý việc ký và giải mã token. Đặc biệt, việc quản lý mật khẩu bí mật (client secret) và khóa riêng tư (private key) là yếu tố sống còn, do đó hãy đảm bảo lưu trữ chúng trong biến môi trường (Environment Variables) thay vì hardcode trong source code.

Bạn hãy khởi tạo một dự án mới bằng cách chạy lệnh khởi tạo package.json và cài đặt các gói phụ thuộc cần thiết. Dưới đây là lệnh để cài đặt các thư viện cốt lõi cho hệ thống xác thực của chúng ta:

npm init -y && npm install express jose cors dotenv uuid

Sau khi cài đặt xong, bạn cần tạo một tệp .env để lưu các biến cấu hình nhạy cảm. Tệp này sẽ chứa địa chỉ URL của Auth Server, URL của API Server, khóa riêng tư và công khai (dưới dạng string base64 hoặc file), cùng với thời gian sống của token (TTL). Việc tách biệt cấu hình ra khỏi code giúp việc triển khai trên môi trường Dev, Stage và Prod trở nên linh hoạt và an toàn hơn.

echo "JWT_ISSUER=http://localhost:3000
JWT_ALGORITHM=RS256
JWT_ACCESS_TOKEN_TTL=15m
JWT_REFRESH_TOKEN_TTL=7d
CLIENT_SECRET=super_secure_random_string_generated_here
PORT=3000" > .env

Triển khai Auth Server để phát hành Token

Bước tiếp theo là xây dựng Auth Server. Server này sẽ chịu trách nhiệm sinh ra cặp khóa RSA (Public/Private Key) để ký vào JWT. Trong môi trường sản xuất, bạn nên sử dụng các công cụ quản lý bí mật chuyên nghiệp hoặc sinh khóa một lần rồi lưu trữ an toàn, nhưng trong quá trình phát triển, chúng ta có thể sinh động khóa mỗi khi khởi động server hoặc sinh tĩnh. Chúng ta sẽ tạo một điểm cuối /oauth/token để chấp nhận yêu cầu đổi Authorization Code lấy Access Token. Trong ví dụ này, tôi sẽ giả định rằng bước xác thực người dùng đã hoàn tất và chúng ta đang ở bước trao đổi code lấy token để tập trung vào cơ chế JWT.

Hãy tạo một tệp server.js và khởi tạo ứng dụng Express. Đầu tiên, bạn cần đọc các biến môi trường và sinh khóa. Sau đó, tạo route /oauth/token. Trong xử lý của route này, bạn cần kiểm tra tính hợp lệ của code và client_secret (trong thực tế sẽ phải check trong database), nếu hợp lệ thì tạo JWT. Quan trọng nhất là cấu trúc payload của JWT phải tuân thủ chuẩn, bao gồm các trường: iss (issuer), sub (subject - ID người dùng), exp (thời gian hết hạn), iat (thời gian tạo) và aud (audience - nhận diện API Server). Dưới đây là đoạn code minh họa cho việc tạo token:

const express = require('express');
const jose = require('jose');
const cors = require('cors');
require('dotenv').config();

const app = express();
app.use(cors());
app.use(express.json());

// Tạo cặp khóa RSA ngẫu nhiên cho demo (Trong thực tế nên load từ file hoặc key manager)
const generateKeyPair = async () => {
  return await jose.generateKeyPair('RS256');
};

let privateKey, publicKey;

const init = async () => {
  ({ privateKey, publicKey } = await generateKeyPair());
  app.listen(process.env.PORT, () => console.log(`Auth Server running on port ${process.env.PORT}`));
};

// Endpoint cấp phát token (Giả lập logic trao đổi code)
app.post('/oauth/token', async (req, res) => {
  const { grant_type, code, client_secret } = req.body;

  if (grant_type !== 'authorization_code' || client_secret !== process.env.CLIENT_SECRET) {
    return res.status(401).json({ error: 'invalid_client' });
  }

  // Trong thực tế, cần check code trong DB, ở đây giả định code hợp lệ
  const payload = {
    sub: '1234567890', // ID người dùng
    scope: 'read:users write:users',
    roles: ['user', 'admin'],
  };

  const accessToken = await new jose.SignJWT(payload)
    .setIssuedAt()
    .setIssuer(process.env.JWT_ISSUER)
    .setAudience('my-api-service')
    .setExpirationTime('15m')
    .sign(privateKey);

  res.json({
    access_token: accessToken,
    token_type: 'Bearer',
    expires_in: 900,
    scope: payload.scope
  });
});

init();

Đoạn code trên sử dụng thư viện jose để tạo JWT với thuật toán RS256 (RSA Signature with SHA-256). Việc sử dụng thuật toán bất đối xứng (Asymmetric) là rất quan trọng vì nó cho phép API Server xác minh chữ ký của token bằng khóa công khai mà không cần biết khóa bí mật, từ đó phân tách quyền lực và tăng bảo mật. Khi Auth Server hoàn thành, bạn có thể dùng Postman hoặc curl để test việc cấp token.

curl -X POST http://localhost:3000/oauth/token -H "Content-Type: application/json" -d "{\"grant_type\": \"authorization_code\", \"code\": \"mocked_valid_code\", \"client_secret\": \"super_secure_random_string_generated_here\"}"

Bạn sẽ nhận lại một chuỗi JWT trong phần response. Hãy lưu chuỗi này lại vì chúng ta sẽ sử dụng nó trong bước tiếp theo để gọi API bảo mật.

Cấu hình API Server để xác thực Token

Bây giờ chúng ta chuyển sang phía API Server. Server này sẽ đóng vai trò là nơi lưu trữ dữ liệu thực tế (Resource Server). Nhiệm vụ chính của API Server là xác minh Access Token. API Server cần có quyền truy cập vào khóa công khai (Public Key) của Auth Server. Nếu Auth Server và API Server cùng một cụm máy chủ, bạn có thể chia sẻ file key, nhưng trong môi trường phân tán, API Server thường cần fetch public key từ Auth Server qua endpoint /jwks hoặc /public-key. Để đơn giản hóa ví dụ này, tôi sẽ giả định API Server đã có sẵn khóa công khai tương ứng với khóa bí mật mà Auth Server đang dùng.

Tạo một dự án mới cho API Server và cài đặt các thư viện tương tự. Chúng ta sẽ viết một middleware custom để chặn mọi yêu cầu tới các route nhạy cảm, trích xuất token từ header Authorization, và sử dụng khóa công khai để xác minh chữ ký, thời gian hết hạn, và người cấp phát (Issuer). Nếu mọi thứ hợp lệ, middleware sẽ đính kèm thông tin người dùng vào đối tượng request trước khi chuyển qua controller xử lý nghiệp vụ.

const express = require('express');
const jose = require('jose');
const cors = require('cors');
require('dotenv').config();

const app = express();
app.use(cors());
app.use(express.json());

// Giả định khóa công khai (Trong thực tế nên load từ Auth Server hoặc file)
// Ở đây tôi sinh lại khóa để khớp với Auth Server trong ví dụ, trong thực tế cần share public key
const { generateKeyPair } = require('jose');

// Tạo khóa để test (Thực tế API Server cần load public key từ Auth Server)
let publicKey;
const initKeys = async () => {
  // Trong thực tế: publicKey = await importKeyFromRemoteServer();
  // Ở đây giả lập lấy public key từ Auth Server đã có sẵn
  // Để chạy demo này mượt mà, bạn cần copy public key từ Auth Server vào biến này
  // Hoặc đơn giản hơn: Auth Server expose endpoint /jwks để lấy public key
};

// Middleware xác thực JWT
const verifyToken = async (req, res, next) => {
  const authHeader = req.headers.authorization;
  if (!authHeader || !authHeader.startsWith('Bearer ')) {
    return res.status(401).json({ error: 'Access token missing or invalid format' });
  }

  const token = authHeader.split(' ')[1];

  try {
    // Xác minh chữ ký và các claim chuẩn
    const { payload } = await jose.jwtVerify(token, publicKey, {
      algorithms: [process.env.JWT_ALGORITHM],
      issuer: process.env.JWT_ISSUER,
      audience: 'my-api-service',
    });

    // Đính kèm thông tin người dùng vào request
    req.user = payload;
    next();
  } catch (err) {
    console.error('Token verification failed:', err);
    return res.status(403).json({ error: 'Invalid or expired token' });
  }
};

// Định nghĩa public key giả lập (Cần khớp với Auth Server)
// Lưu ý: Để chạy demo này, bạn cần cấu hình public key thực tế
publicKey = await jose.generateKeyPair('RS256').then(pair => pair.publicKey);

app.get('/api/users', verifyToken, (req, res) => {
  res.json({
    message: 'Xin chào! Đây là dữ liệu bảo mật.',
    userId: req.user.sub,
    roles: req.user.roles
  });
});

app.listen(process.env.PORT || 4000, () => console.log(`API Server running on port 4000`));

Middleware verifyToken là trái tim của bảo mật API. Hàm jose.jwtVerify sẽ tự động kiểm tra chữ ký, thời gian hiện tại so với exp, và các trường iss, aud để đảm bảo token không bị giả mạo hoặc bị dùng sai mục đích. Nếu token hết hạn hoặc không khớp, nó sẽ ném lỗi và trả về 403 Forbidden. Lưu ý rằng trong môi trường thực tế, bạn không nên sinh cặp khóa mới mỗi khi khởi động API Server mà phải load public key từ Auth Server để đảm bảo tính đồng bộ.

Quan trọng: Quản lý Khóa và An toàn trong Sản xuất

Một sai lầm phổ biến của các kỹ sư khi triển khai OAuth là lưu trữ khóa bí mật (private key) trong source code hoặc lưu trữ token trong LocalStorage của trình duyệt. Bạn tuyệt đối không được đưa file chứa private key vào repository code. Hãy sử dụng các dịch vụ quản lý bí mật như AWS Secrets Manager, HashiCorp Vault, hoặc biến môi trường trong container orchestration (Kubernetes Secrets). Đối với việc lưu trữ token, nếu ứng dụng của bạn là web client chạy trên trình duyệt, hãy ưu tiên lưu Refresh Token trong HTTPOnly Cookie để chống lại tấn công XSS, còn Access Token có thể giữ trong bộ nhớ RAM của ứng dụng.

Thêm vào đó, bạn cần xem xét việc xoay vòng khóa (Key Rotation). Nếu một khóa bí mật bị lộ, toàn bộ hệ thống xác thực của bạn sẽ sụp đổ. Một kiến trúc tốt nên hỗ trợ nhiều cặp khóa cùng lúc, với mỗi khóa có một ID (kid) trong JWKS (JSON Web Key Set). Auth Server sẽ chỉ định kid nào được dùng để ký token mới, và API Server sẽ tải về JWKS để tìm đúng key tương ứng để xác minh. Điều này cho phép bạn sinh khóa mới và từ từ vô hiệu hóa khóa cũ mà không gây gián đoạn dịch vụ.

Độ dài thời gian sống của Access Token nên ngắn (ví dụ 15 phút) để hạn chế thiệt hại nếu token bị đánh cắp, trong khi Refresh Token có thể sống lâu hơn (7 ngày) để người dùng không phải đăng nhập lại quá thường xuyên. Tuy nhiên, Refresh Token cũng cần có cơ chế vô hiệu hóa (revocation) khi người dùng đăng xuất hoặc khi phát hiện hành vi bất thường. Bạn có thể lưu Refresh Token trong Redis với TTL ngắn hoặc cơ chế "sliding window" để tăng cường bảo mật.

Kết luận

Việc triển khai OAuth 2.0 kết hợp với JWT và kiến trúc Stateless là một bước tiến lớn trong việc xây dựng hệ thống API hiện đại, bảo mật và có khả năng mở rộng. Bằng cách tách biệt Auth Server và API Server, bạn đã tạo ra một mô hình phân quyền rõ ràng, nơi Auth Server tập trung vào quản lý danh tính và API Server tập trung vào xử lý nghiệp vụ. Bài viết này đã hướng dẫn bạn đi qua quy trình sinh khóa, cấp phát token, và xác minh token bằng code Node.js thực tế. Tuy nhiên, hãy nhớ rằng bảo mật là một quá trình liên tục, không phải là điểm đích. Hãy luôn cập nhật các thư viện, tuân thủ các best practice mới nhất về quản lý khóa và giám sát các yêu cầu bị từ chối để kịp thời phát hiện các hành vi tấn công. Khi bạn đã thành thạo với mô hình này, bạn có thể nâng cấp lên các tiêu chuẩn cao hơn như OpenID Connect (OIDC) để cung cấp thông tin xác thực (Authentication) bên cạnh ủy quyền (Authorization), tạo nền tảng vững chắc cho các hệ thống SSO (Single Sign-On) trong tương lai.