Token

Một token là một mảnh dữ liệu được sử dụng để xác thực, phân quyền hoặc trao đổi dữ liệu an toàn trong các hệ thống kỹ thuật số. Nó thường là một chuỗi ngẫu nhiên được tạo ra để đại diện cho quyền truy cập của người dùng hoặc ứng dụng mà không tiết lộ thông tin đăng nhập nhạy cảm. Các token thường được sử dụng trong xác thực API (ví dụ: OAuth, JWT), quản lý phiên làm việc và các giao thức bảo mật.

Còn được gọi là: token xác thực, token truy cập, token bảo mật.

So sánh

• Token vs. Mật khẩu: Mật khẩu là một bí mật tĩnh được sử dụng cho xác thực, trong khi token thường là tạm thời và được sử dụng để cấp quyền truy cập một cách an toàn.

• Token phiên vs. Token API: Token phiên được sử dụng để theo dõi các phiên người dùng trên một trang web, trong khi token API được sử dụng để xác thực và phân quyền các yêu cầu trong giao tiếp API.

Lợi ích

• Tăng cường bảo mật: Giảm thiểu nhu cầu lưu trữ hoặc truyền tải thông tin đăng nhập nhạy cảm.

• Hỗ trợ xác thực không trạng thái: Các token cho phép xác thực hiệu quả mà không cần duy trì trạng thái phiên trên máy chủ.

• Linh hoạt: Có thể bao gồm dữ liệu tùy chỉnh để kiểm soát truy cập chi tiết.

Nhược điểm

• Hết hạn token: Token hết hạn cần được làm mới, làm gia tăng độ phức tạp.

• Rủi ro bảo mật: Lưu trữ hoặc tiết lộ token không đúng cách có thể dẫn đến quyền truy cập trái phép.

Ví dụ

Một ứng dụng web cấp phát một JWT (JSON Web Token) cho người dùng sau khi đăng nhập. Token sau đó được bao gồm trong các yêu cầu API để xác thực người dùng mà không yêu cầu thông tin đăng nhập cho mỗi yêu cầu.