JWT là gì? Tìm hiểu lý do nên sử dụng JWT

Vinh Phạm

1674

25-05-2022

Đối với các nhà phát triển, việc gia tăng mức độ bảo mật cho các ứng dụng, website hay các dịch vụ công nghệ thông tin luôn được xem là công việc cần ưu tiên hàng đầu. JWT trong thời gian gần đây đang nổi lên như một hình thức bảo mật không những tốt mà còn miễn phí. Do đó, nó được xem là một thuật ngữ hiện đại được tin tưởng và sử dụng phổ biến bởi các nhà phát triển. 

Vậy JWT là gì? JWT mang đến những ưu điểm như thế nào cho người dùng? Những thông tin quan trọng mà Bizfly Cloud chia sẻ dưới đây sẽ giúp bạn đi tìm câu trả lời.

JWT là gì? 

JWT (JSON Web Tokens) là một chuỗi mã hoá hay một tiêu chuẩn mở RFC 7519 được sử dụng như một phương tiện đại diện nhỏ gọn có khả năng thông qua chuỗi JSON để truyền đạt thông tin giữa server và client.

• JSON: Đây là một dạng dữ liệu được sử dụng theo một quy luật chung nhất định mà hầu hết các ngôn ngữ lập trình hiện nay đều có thể dễ dàng đọc và tìm hiểu. Nó được xem là một tiêu chuẩn mở với mục đích sử dụng là trao đổi dữ liệu trong website.
• Token: Đây là một chữ ký điện tử được mã hoá thành các con số khác nhau và các con số này tạo thành một dãy số ấn tượng. Do được tạo dưới dạng OTP nên loại mã số này chỉ được tạo ngẫu nhiên và sử dụng trong một lần cho từng lần giao dịch khác nhau.

Các thông tin trong chuỗi JWT được định dạng bằng JSON đồng thời được đảm bảo tính bảo mật và gia tăng mức độ tin tưởng dựa trên chữ ký điện tử. Chữ ký điện tử này sẽ sử dụng các Public Key (khóa công khai) và Private Key (khóa riêng tư) có ứng dụng ECDSA và RSA với thuật toán HMAC.

Những lý do nên sử dụng JWT là gì? 

Thực tế, JWT nhận được sự tin tưởng và sử dụng rộng rãi của hầu hết các nhà phát triển và người dùng hiện nay bởi rất nhiều lý do khác nhau. Tuy nhiên, các lý do chính thường được thấy nhất đó là:

• Khả năng truyền đạt thông tin: Với khả năng truyền đạt thông tin vô cùng an toàn JWT dựa vào phần chữ ký điện tử, các thành viên có thể dễ dàng trao đổi dữ liệu. Nhờ có chữ ký điện tử, người dùng sẽ biết được chính xác người gửi thông tin đến mình để có thể an tâm và đảm bảo tuyệt đối việc nhận diện người giả mạo.
• Tính bảo mật: JWT phù hợp với những đối tượng muốn bảo mật thông tin của họ bởi người dùng khi thực hiện việc đăng nhập vào hệ thống thì họ phải đáp ứng được yêu cầu về JWT. Ngoài ra, JWT còn mang đến sự thuận tiện cho người dùng trong việc click vào server, url, resource,.. bởi họ dễ dàng xác nhận được quyền truy cập của mình chỉ với JWT.

Ưu điểm của JWT mang lại 

Một số những ưu điểm nổi bật mà bạn sẽ nhận được từ JWT như sau:

• Nhỏ gọn hơn: So với XML, JWT nhỏ gọn hơn rất nhiều. Do đó, JWT khi thực hiện mã hoá cũng sẽ nhỏ gọn hơn SAML. Điều này khiến JWT trở thành một sự lựa chọn phù hợp cho các lập trình viên trong môi trường HTTP và HTML.
• An toàn hơn: JWT sử dụng cặp khóa Public Key/Private Key dưới dạng X.509 hoặc một mã bí mật sử dụng thuật toán HMAC được chia sẻ để ký. Do đó, phương pháp thực hiện bảo mật của JWT an toàn hơn so với SAML.
• Phổ biến hơn: Do JWT ánh xạ trực tiếp đến các đối tượng nên bộ phân tích cú pháp JWT phổ biến trong hầu hết các ngôn ngữ lập trình hiện nay. Trong khi đó, XML không tự nhiên ánh xạ tài liệu nên bạn sẽ làm việc tốt hơn với JWT.
• Dễ dàng xử lý hơn: Được sử dụng ở quy mô nền tảng internet nên JWT dễ dàng xử lý các kết nối có trên hầu hết các thiết bị của con người đặc biệt là các thiết bị di động cá nhân.

Hiểu về cấu trúc của Json Web Token 

Nói về cấu trúc của JSON Web Token, phương tiện này sẽ bao gồm ba phần chính đó là Header, Payload và Signature:

- Header: Thành phần này chứa những thuật toán và các kiểu dữ liệu được sử dụng nhanh chóng cho mục đích mã hoá chuỗi JWT một cách hoàn hảo. Hai phần tử chính có trong Header phải kể đến đó là:

• Type: Loại token đã được mặc định là JSON Web Token.
• ALG (Algorithm): Là thuật toán mới được sử dụng để mã hoá JWT nhanh chóng.

- Payload: Trong JWT, Payload đóng vai trò vô cùng quan trọng bởi chúng sở hữu những nội dung thông tin mà người dùng mong muốn bên trong chuỗi JSON. Những thông tin này không chỉ bổ sung cho phần Header mà nó còn có khả năng mô tả các thực thể một cách đơn giản và nhanh chóng. Ba loại thông tin chính có trong Payload bao gồm:

• Thông tin đã đăng ký: Được quy định bởi tổ chức IANA JSON WEB TOKEN nhưng những thông tin đã đăng ký này lại không mang tính bắt buộc. Bạn có thể đặt ra các điều kiện bắt buộc tuỳ vào từng ứng dụng khác nhau để đưa ra những thông tin cần thiết cho ứng dụng. Một số điều kiện có thể nhắc đến như chủ đề token, đối tượng sử dụng token, tổ chức phát hành token, token chưa hợp lệ, thời điểm hết hạn token, id của JWT,...
• Thông tin riêng tư: Đây được xem là các phần thông tin bổ sung được sử dụng để truyền tải thông tin qua lại giữa các máy khách.
• Thông tin công khai: Những thông tin này sẽ dựa trên ý muốn của người dùng JWT để đưa ra những định nghĩa khác nhau và tránh được hiện tượng trùng lặp xảy ra.

- Signature: Đây là phần chữ ký bí mật được tạo thành từ phần mã hoá của header kết hợp với cập nhật phần Payload và đi kèm một chuỗi secret.

Khi cả ba phần Header, Payload và Signature được kết hợp, một chuỗi JWT hoàn chỉnh bậc nhất sẽ được ra đời và trở thành phương tiện trợ giúp công việc của lập trình viên cực kỳ hiệu quả.

JWT hoạt động như thế nào?

Để có thể hiểu hơn cách JWT hoạt động, bạn có thể xem xét ví dụ cụ thể thông qua việc uỷ quyền (Authentication). Khi người dùng đăng nhập thông tin hay dữ liệu tài khoản của mình vào trình duyệt thì trình duyệt sẽ đăng tài khoản và mật khẩu của người dùng về phía server một cách tự động. Lúc này, server sẽ tiến hành xác thực và trả về cho trình duyệt một chuỗi JWT. Thay vì tạo session trên server và trả về cookies thì token JWT sẽ được lưu trữ trong LocalStorage hoặc trong cookies.

Khi nào nên dùng JSON Web Token?

Trong thực tế, JWT có thể được ứng dụng cho nhiều hoạt động đa dạng khác nhau. Tuy nhiên, hai trường hợp điển hình được ứng dụng nhiều nhất đó là uỷ quyền và trao đổi thông tin:

• Uỷ quyền: Đây là trường hợp sử dụng phổ biến nhất của JWT. Khi người dùng đăng nhập vào hệ thống thì những yêu cầu tiếp theo đến người dùng như tài nguyên, dịch vụ,... sẽ có thêm mã JWT. Điều này cho phép người dùng có quyền được truy cập vào các URL, dịch vụ và resource mà token cho phép.
• Trao đổi thông tin: JWT là một cách thức khá thú vị giúp đảm bảo mức độ an toàn tuyệt đối trong việc truyền tin giữa các thành viên với nhau dựa vào phần signature. Thông qua phần signature, phía người nhận có thể xác định được người gửi thông tin là ai và chữ ký gửi đến có bị giả mạo hay không.

Bằng những lợi ích và ưu điểm đáng tin cậy, JWT ngày càng trở nên phổ biến và là sự lựa chọn hàng đầu của các lập trình viên trong việc gia tăng bảo mật cho trang web, ứng dụng và các dịch vụ công nghệ thông tin của mình. Bizfly Cloud chắc chắn rằng, chỉ với những thông tin cơ bản trong bài viết này đã đủ để bạn hiểu rõ JWT là gì và những lý do vì sao mà bạn nên sử dụng nó. Để thành công hơn trong lĩnh vực lập trình và bảo mật dữ liệu, bạn đừng bỏ qua một phương tiện hữu ích như JWT nhé!