Nếu đã bắt tay vào một phần mềm nào đó dù nhỏ thì chắc các bạn cũng đã nghe tới hai khái niệm Authentication và Authorization. Trong bài này ta cùng tìm hiểu và xem cách chúng ta hỗ trợ hai tính năng này trong Mini Web Server thế nào nhé.

Authentication và Authorization là gì?

Authentication là hành động xác định danh tính của một người dùng, nó dùng để trả lời câu hỏi “Người dùng đang truy cập là ai?”. Một trong những phương pháp phổ biến nhất mà chắc ai cũng biết là sử dụng user name/password, nhưng cũng có nhiều phương pháp khác, hỗ trợ cho các usecase khác, như sử dụng các token, client certificate, OTP… Những usecase này có một số quy trình hoặc yêu cầu khác biệt, ví dụ:

• Các API không có giao diện nên không thể yêu cầu người dùng đăng nhập bằng tên đăng nhập hoặc mật khẩu.
• Một số dịch vụ yêu cầu đặc biệt về bảo mật cần người dùng cài đặt trước các certificate trên máy client, do vậy bạn chỉ có thể đăng nhập từ một máy tính cụ thể.
• OTP cho phép bạn đăng nhập dễ dàng mà không cần nhớ mật khẩu…
• Các hard token lưu trữ khóa đăng nhập trong một thiết bị phần cứng giúp bạn đăng nhập một cách bảo mật nhưng vẫn dễ dàng.
• …

Một số hệ thống cho phép bạn chọn một trong những phương pháp xác thực trên, hoặc thậm chí kết hợp chúng lại với nhau, ví dụ bạn phải đăng nhập bằng user/password trên một máy tính có gắn hard token, hay nhập mã OTP sau khi nhập password…

Nhiều phần mềm hiện tại sử dụng một hệ thống thứ ba đảm nhiệm việc xác thực người dùng, từ đó cho phép ta xây dựng mô hình single sign-on (SSO), dùng một tài khoản để truy cập vào nhiều phần mềm khác nhau. Nhờ vậy người phát triển ứng dụng được giải phóng khỏi các tính năng liên quan đến xác thực, vốn cũng rất phức tạp và tốn kém chi phí phát triển lẫn duy trì. Người dùng cũng được giải phóng khỏi việc ghi nhớ nhiều tên đăng nhập/password trên các hệ thống khác nhau, từ đó giúp cho việc bảo mật cũng trở nên dễ dàng hơn. Một ví dụ là hiện có rất nhiều web site cho phép đăng nhập bằng tài khoản Facebook, Google, Apple…

Một phần mềm tốt phải được thiết kế sao cho không phụ thuộc vào phương thức xác thực, nhờ vậy khi có yêu cầu mới về hệ thống, bạn sẽ dễ dàng thay đổi mà không sợ ảnh hưởng đến phần core (phần xử lý các quy trình kinh doanh của hệ thống).

Authorization là hành động xác định quyền hạn mà một người dùng được phép thực hiện. Nôm na là sau khi đã biết “Người dùng đang truy cập là ai?”, ta sẽ trả lời tiếp “Người dùng này được làm những gì”. Tuy Authentication và Authorization là hai hành động riêng biệt, tuy nhiên do mối quan hệ tự nhiên của chúng mà ta luôn nhắc đến chúng như thể là một.

Khác với Authentication, Authorization thông thường được định nghĩa và quản lý bởi hệ thống của bạn, vì các tính năng mỗi hệ thống cung cấp khác nhau, do vậy chỉ có bạn biết chính xác nên quản lý chúng như thế nào. Khi nói đến authorization, ta thường quen với các khái niệm như permission, group, hay role… chúng giúp ta định nghĩa các quyền cho một người dùng cụ thể, hoặc một nhóm người dùng có cùng vai trò.

HTTP hỗ trợ Authentication và Authorization như thế nào?

Khi truy cập vào một tài nguyên được bảo vệ và yêu cầu xác thực, server sẽ trả về lỗi 401 .Unauthorized, đồng thời trả về một header có tên WWW-Authenticate chứa các scheme mà server hỗ trợ, client sẽ dựa vào các scheme này để chuyển đến trang phù hợp cho phép người dùng thực hiện đăng nhập (xác thực).

Với việc xác thức, giao thức HTTP hỗ trợ một header có tên Authorization, cú pháp của header này khá đơn giản:

Authorization: <auth-scheme> <auth-parameters>

Trong đó auth-scheme chỉ ra scheme – cách dữ liệu người dùng đang truy cập được mã hóa (encode) trong auth-parameters. Web server (hoặc web app) đọc header này và giải mã (decode) các tham số trong auth-parameters để định danh người dùng và xác định các quyền mà người dùng có.

Scheme đơn giản nhất là Basic, khi đó auth-parameters sẽ là một chuỗi ghép từ username:password, sau đó được encode dạng Base64. Dễ dàng nhận thấy rằng nếu request bị bắt trên đường truyền, ta có thể đọc lại được username và password một cách dễ dàng, vì vậy thông thường ta chỉ dùng Basic trên các kết nối HTTPS. Thực tế là hiện tại hiếm có website nào còn dùng scheme này vì nó (trông có vẻ) ít bảo mật, và trải nghiệm đăng nhập không tốt.

Một scheme quan trọng được dùng rất phổ biến khi viết các Web API là Bearer, khi đó auth-parameters là một Json Web Token (JWT).

Ta có thể thấy, mỗi khi truy cập vào một tài nguyên được bảo vệ, ta luôn phải gửi kèm Authorization header, và server buộc phải xác thực header này trước khi thực hiện các bước tiếp theo. Nếu sử dụng Basic scheme như đã nói ở trên, server cần làm gì để xác thực? Có lẽ sẽ là kết nối đến database và kiểm tra xem có cặp username/password nào phù hợp không. Đây là một phương thức tốn kém chi phí, sử dụng nhiều tài nguyên server, thậm chí có thể còn tốn kém hơn bản thân chức năng mà API cung cấp.

Các API cũng được thiết kế để phục vụ các chương trình máy tính, chúng đòi hỏi khả năng xử lý lớn hơn nhiều so với các trang web (vốn được thiết kế để phục vụ con người). Bearer cho phép chúng ta xác thực mà không cần kết nối đến cơ sở dữ liệu, bằng cách chứa thông tin cả về user lẫn Security Service Provider (SSP), và cả chữ ký (digital signature) của nó. HTTP Server chỉ cần xác thực chữ ký thành công là có thể lấy được thông tin về user, không có bất kỳ thao tác nào lên cơ sở dữ liệu người dùng (mà thật ra cũng không cần có CSDL này).

Vậy tới đây ta đã biết JWT được dùng làm gì và khi nào, tuy nhiên một vấn đề khác lại xảy ra. Đó là vì server không kết nối đến DB để kiểm tra, vậy nên có thể xảy ra trường hợp tài khoản người dùng không còn hợp lệ sau khi token (JWT) đã được sinh ra, server sẽ không nhận ra và vẫn chấp nhận token. Để giải quyết vấn đề này, người ta đặt tuổi của token ngắn lại, thường thì chỉ tính bằng phút, khi hết hạn người dùng sẽ phải xác thực lại để lấy về token mới với thông tin đã được cập nhật. Nhưng từ đây lại phát sinh ra một vấn đề khác, nếu cứ mỗi vài phút lại phải quay lại trang đăng nhập một lần thì quá phiền phức, nên người ta cấp thêm một token thứ hai với vòng đời dài hơn (thường tính bằng ngày), mỗi khi token thứ nhất hết hạn, ta sẽ gửi token thứ hai lên cho server để xác thực, khi đó server mới kiểm tra và cấp lại một token mới cho client, người dùng chỉ cần xác thực lại nếu quá trình xác thực token thứ hai không thành công.
Token thứ hai này thường được gọi với cái tên là refresh token, và không nhất thiết phải là một JWT.

(Ảnh minh họa từ Mozilla Developer Network)

Q: Mini-Web-Server là gì?

A: Mini-Web-Server (gọi tắt là Mini) là một web server mã nguồn mở viết trên C#, .NET 7, hỗ trợ HTTP/1.1, HTTPS, Multi-Host…

Q: Mini có hỗ trợ nội dung động không?

A: Có, vì không có nội dung động thì sẽ không cần dùng đến các method như POST, PUT… Tuy nhiên hiện tại tôi chưa quyết định cụ thể sẽ hỗ trợ như thế nào, ban đầu dự định hỗ trợ thông qua CGI (https://www.hostgator.com/help/article/what-is-cgi-bin), thông qua đó sẽ dễ dàng tích hợp các ngôn ngữ script như JS hay PHP, nhưng CGI đã quá cũ và tiềm ẩn rất nhiều rủi ro về bảo mật nên có thể tôi sẽ tự thiết kế một engine riêng. (Ở đây các bạn có thể thấy sức mạnh của abstraction, khi tôi có thể thiết kế web server trước khi implement phần cung cấp nội dung).

Q: Mini được viết ra để làm gì?

A: Mini được viết ra như một ứng dụng minh họa cho những khái niệm/công nghệ mà tôi đã/đang/định/sẽ nói đến. Do vậy một trong nhưng tiêu chí khi thiết kế và implement là code phải dễ đọc dễ hiểu nhất.

Tôi không thích lắm khi nói về OOP cứ phải lấy ví dụ về Animal với Dog với Cat, hoặc là mấy cái hình vuông với hình chữ nhật, nghe thì dễ hiểu nhưng người học chẳng biết dùng vào việc gì cả.

Các bạn sẽ được nhìn thấy các phần đã học được áp dụng trong thực tế thế nào. Có những khái niệm khá mơ hồ và khó hiểu (ai học OOP thì chắc cũng biết), nhưng vì máy tính là khoa học, không phải nghệ thuật, nên dù có khó thì cũng chỉ có một cách hiểu duy nhất.

Thông qua việc viết ra một ứng dụng hoàn chỉnh, chúng ta sẽ hiểu rõ các khái niệm này một cách chính xác, bằng cách so sánh các cách áp dụng khác nhau (vì hiểu theo những cách khác nhau) sẽ dẫn đến những kết quả nào.

Q: Tại sao không phải là ứng dụng khác mà lại là một Web server?

A: Một web server hoàn chỉnh dù nhỏ cũng phải chứa khá nhiều tính năng khác nhau, và phải sử dụng nhiều kỹ thuật, thiết kế, kiến trúc. Ngoài ra bạn sẽ phải đi sâu vào giao thức HTTP, nền tảng cho mọi thứ trên web, kể cả các web app hay API. Do vậy theo tôi nó là hoàn hảo để trình bày các kỹ thuật khác nhau khi viết chương trình.

Q: Mini có thể thay thế các web server phổ biến hiện tại không?

A: Về mặt chức năng: Có. Nó sẽ có khả năng phục vụ để tạo ra các website, API, (và

có thể cả websocket).

Về hiệu quả sử dụng: Không (hoặc chí ít là chưa). Bạn không nên mạo hiểm đưa mini vào sử dụng production . Một dự án nho nhỏ làm trong lúc rảnh rỗi thì không thể so được với dự án được hàng trăm chuyên gia làm trong nhiều (chục) năm.

Tuy nhiên, sử dụng Mini làm backend server và một web server khác (nginx chẳng hạn) làm reverse proxy cũng có thể là một ý hay .

Q: Tại sao không sử dụng các web server mã nguồn mở để học?

A: Hầu hết các web server phổ biến nhất (trừ IIS) đều là mã nguồn mở. Bạn hoàn toàn có thể đọc code để xem họ đã làm như thế nào. Tuy nhiên bạn chỉ nên làm điều này khi muốn tham gia vào dự án, bởi sau nhiều năm phát triển chúng đã quá phức tạp để hiểu, đặc biệt với người chưa có kinh nghiệm.

Minix – hệ điều hành còn già hơn Linux (Minix chính là cảm hứng để Linus Torvalds viết lên Linux) vẫn còn được dùng để giảng dạy môn Hệ điều hành trong nhiều trường đại học (https://wiki.minix3.org/doku.php?id=courses) bởi sự đơn giản của nó (Linux hiện đã có hơn 30 triệu dòng code).

Q: Mini có hỗ trợ HTTP/2, HTTP/3 không?

A: Có (nhưng khi nào thì chưa biết ). HTTP/2 và HTTP/3 chủ yếu khác HTTP/1.1 ở phương thức truyền dữ liệu giúp tăng cường hiệu năng, cấu trúc các request và response và các tính năng bên dưới hầu như không có thay đổi. Do vậy việc implement hai phiên bản này không phải là một yêu cầu quan trọng với một máy chủ web “hiệu năng thấp” như Mini.

Q: Tính năng Multi-Host là gì?

A: Multi-Host cho phép bạn chạy nhiều website trên cùng server, tùy thuộc vào domain name.

Q: Làm sao tôi hiểu được Mini được thiết kế và viết như thế nào?

A: Tôi sẽ có bài viết/video hướng dẫn, hiện nay chưa làm là vì LƯỜI!

Q: Nếu một lúc nào đó ứng dụng được hoàn thành, vậy khi đó nó lại trở nên quá phức tạp để học?

A: Khi đã implement các tính năng ở một mức độ hoàn chỉnh cho phép, tôi sẽ tạo các tag để lưu lại source code ở thời điểm đó (https://github.com/daohainam/mini-web-server/tags). Các bài hướng dẫn sẽ dựa trên các tag này, tránh việc khi source code thay đổi thì nội dung bài viết trở nên không chính xác. Khi nói về vấn đề nào, tôi sẽ cố gắng sử dụng tag đầu tiên mà tính năng đó xuất hiện, giúp chúng ta dễ dàng theo dõi nhất.

Q: Viết ra Mini có khó không?

A: Khó. Đặc biệt là phần xử lý giao thức HTTP. Dù tôi đã làm với HTTP từ rất lâu (có thể từ trước khi một số độc giả ở đây ra đời ) nhưng tôi vẫn thấy khó, nguyên nhân là vì phải đọc và implement TOÀN BỘ giao thức, theo đúng các RFC của nó (https://datatracker.ietf.org/doc/html/rfc9112), không được bỏ sót kẽ hở nào (công nhận ông này cũng rảnh thật). Ngoài ra việc xử lý các dữ liệu đó trên nhiều stream khác nhau một cách không đồng bộ cũng gây ra khó khăn, bởi sẽ xảy ra vô số trường hợp cần xử lý.

Q: Để hiểu thì có cần biết kiến thức gì trước không?

A: Tất nhiên là có. Bạn sẽ cần biết về lập trình, tốt nhất là với C#, nhưng nếu chỉ biết một ngôn ngữ khác tương tự cũng không sao (Java, C++), nếu chỉ biết JS thì hơi khó nhưng nếu đã viết app NodeJS thì chắc cũng được.

Bạn sẽ cần biết về networking (TCP/IP, socket), OOP, multi-thread programming, các cấu trúc dữ liệu thông dụng… Những thứ này các bạn có thể đọc các bài viết trên trang https://www.daohainam.com hoặc hỏi chị Google. Khi đi vào phần code, sẽ có nhiều pattern (Mini được viết để minh họa cho các pattern này), sẽ dễ hiểu hơn nếu các bạn đã từng học về chúng.

Ngoại trừ phần ngôn ngữ lập trình, các phần còn lại sẽ có bài viết/video giải thích. Hiện nay vì sao chưa có chắc các bạn cũng biết rồi đấy! Vì LƯỜI!

Trong bài viết “NHỮNG MÔN HỌC CẦN THIẾT NẾU BẠN MUỐN TRỞ THÀNH SENIOR DEVELOPER“, tôi đã nói về những môn học giúp bạn có kiến thức vững chắc, và tự tin tham gia vào bất kỳ dự án nào. Tuy nhiên sau khi đọc xong, có nhiều bạn nhắn với tôi là “anh ơi, em biết là phải học những môn đó, nhưng em lại không biết học như thế nào”. Thật sự điều này cũng tương đối khó, bởi có quá nhiều thứ để học, bạn không biết được mình phải bắt đầu từ đâu, lộ trình thế nào, làm sao đạt được hiệu quả tốt nhất, thời gian ngắn nhất.

Một trong những cách học hiệu quả nhất là bắt tay vào làm một dự án thực tế (tôi cũng có nói về điều này trong bài Một số lời khuyên cho người học IT), nhưng làm cái gì lại là một câu hỏi khác. Một trong những sai lầm của các bạn khi chọn đề tài là các bạn chọn một dự án mà bạn đã biết cách làm, điều này làm bạn mất thời gian nhưng không đạt hiệu quả. Ví dụ khi chọn đề tài là viết một hệ thống quản lý điểm sinh viên, bạn sẽ nhận ra rằng có rất nhiều thao tác trong đó chỉ là CRUD (tạo/xem/xóa/sửa) dữ liệu trong database, và thao tác bạn làm nhiều nhất đôi khi lại là cắt/dán.

Sau một hồi suy nghĩ về điều này, tôi đã chọn ra một đề tài có thể giúp các bạn vừa học OOP, design pattern (Abstract Factory, DI, IoC, Decorator, caching patterns, và nhiều nhiều nữa…), vừa liên quan đến networking (TCP/IP, HTTP), lại có cả lập trình multithread.

Đó là viết ra hẳn một Web Server.