Duy trì Đăng Nhập: Hiểu Về Mã Truy Cập (Access Token) & Mã Làm Mới (Refresh Token)

Bối rối về mã truy cập và mã làm mới? Đừng lo! Bài viết này sẽ giải thích cách chúng hoạt động để giúp bạn duy trì đăng nhập vào ứng dụng một cách an toàn, ngay cả khi mã truy cập của bạn hết hạn. Tìm hiểu cách mã làm mới mang lại sự tiện lợi mà không làm giảm tính bảo mật.
Duy trì Đăng Nhập: Hiểu Về Mã Truy Cập (Access Token) & Mã Làm Mới (Refresh Token)
Cập nhật lần cuối 22:05 07/07/2024 GMT+7

Mã truy cập và mã làm mới là gì?

  • Mã truy cập (Access token): Một chìa khóa cho phép bạn sử dụng ứng dụng hoặc dịch vụ trong thời gian ngắn. Ví dụ: Khi bạn đăng nhập vào Instagram, nó cung cấp cho ứng dụng của bạn một mã truy cập. Mã này cho phép bạn xem bài viết, thích ảnh và bình luận trong một thời gian giới hạn.
  • Mã làm mới (Refresh token): Một chìa khóa đặc biệt có thể cung cấp cho bạn một mã truy cập mới khi mã cũ hết hạn. Ví dụ: Netflix sử dụng mã làm mới. Khi bạn chọn "Ghi nhớ tôi" lúc đăng nhập, nó sẽ lưu mã làm mới trên thiết bị của bạn để giữ bạn đăng nhập qua các phiên làm việc (session).

Cách nhận mã truy cập mới bằng mã làm mới

  • Mã truy cập của bạn hết hạn. Ví dụ: Bạn đang sử dụng ứng dụng thời tiết. Sau 30 phút, nó không thể hiển thị cập nhật nữa.
  • Ứng dụng của bạn gửi mã làm mới đến máy chủ. Ví dụ: Ứng dụng thời tiết tự động gửi mã làm mới của nó đến dịch vụ thời tiết.
  • Máy chủ kiểm tra xem mã làm mới có hợp lệ hay không. Ví dụ: Dịch vụ thời tiết kiểm tra xem mã làm mới của bạn có còn hợp lệ và chưa bị thu hồi hay không.
  • Nếu hợp lệ, máy chủ sẽ gửi lại một mã truy cập mới. Ví dụ: Nếu hợp lệ, dịch vụ thời tiết sẽ gửi một mã truy cập mới, và ứng dụng của bạn có thể hiển thị cập nhật thời tiết lại.

Điều này có an toàn không?

Có, nó vẫn an toàn. Đây là lý do tại sao:

  • Mã truy cập hết hạn nhanh chóng (thường là trong vài phút hoặc vài giờ). Ví dụ: Mã truy cập của ứng dụng ngân hàng có thể chỉ tồn tại trong 5 phút.
  • Mã làm mới có thể bị thu hồi nếu cần thiết. Hệ thống có thể có cơ chế thu hồi mã, nghĩa là mã làm mới và mã truy cập có thể bị thu hồi nếu phát hiện hoạt động đáng ngờ hoặc nếu người dùng đăng xuất. Ví dụ: Nếu bạn đăng xuất khỏi tất cả các thiết bị trên Spotify, nó sẽ thu hồi tất cả các mã làm mới.
  • Mã làm mới có thể được ràng buộc với một thiết bị hoặc địa chỉ IP cụ thể. Nếu mã làm mới được sử dụng từ một thiết bị hoặc địa chỉ IP khác, hệ thống có thể từ chối yêu cầu làm mới.
  • Máy chủ có thể giới hạn số lần sử dụng mã làm mới. Sau một số lần sử dụng nhất định, mã làm mới sẽ trở nên không hợp lệ và người dùng sẽ phải đăng nhập lại. Ví dụ: Một ứng dụng game có thể chỉ cho phép mã làm mới của nó được sử dụng 100 lần trước khi yêu cầu đăng nhập lại.
  • Các biện pháp bảo mật bổ sung như xác thực hai yếu tố có thể được thêm vào. Ví dụ: Khi bạn đăng nhập vào email từ một thiết bị mới, nó có thể yêu cầu một mã gửi đến điện thoại của bạn, ngay cả khi có mã làm mới hợp lệ.

Nhớ rằng, không có gì là an toàn 100%, nhưng hệ thống này giúp cân bằng giữa bảo mật và tiện lợi.