Video học lập trình mỗi ngày

Bearer token là gì? Đây là một vướng mắc rất hay, ngay bản thân tôi cũng không hiểu vì sao tôi lại cắm nguồn vào code mà không hiểu vì sao người ta lại quy định Bearer trước token trong việc Authorization trên header.

Bạn Đang Xem: Bearer token là gì? Nếu không có Bearer trước token? – Anonystick

Nội dung bài viết này cung cấp cho bạn được những gì?

• Hiểu được Bearer token là gì?
• Vì sao lại sở hữu Bearer trước token?
• Nếu không khai báo Bearer thì chuyện gì xẩy ra với Authorization?

Ok, thời điểm hiện nay tất cả chúng ta rõ mục tiêu rồi, ngay thời điểm hiện nay vào giải bài toán này luôn.

Bearer token là gì?

Bearer token hay gọi là Bearer authentication đây chính là token authentication. Là một HTTP authentication scheme liên quan tới những token bảo mật thông tin thì nó gọi là bearer tokens. Theo HTTP authentication. Đến đây trong cả bản thân tôi cũng éo hiểu được vì sao lại khái niệm như vậy. Theo những tài liệu thì Bearer có thể hiểu là “cấp quyền truy cập cho tất cả những người mang mã thông tin này”.

Xem Thêm : Phân tích Residual Value Là Gì – Giá Trị Thu Hồi (Salvage Value) Là Gì

“Bearer token” là một chuỗi nhìn vào đố ai mà hiểu, nó được tạo ra bởi server cộng với một vài khái niệm của mỗi doanh nghiệp. Khách hàng muốn truy cập vào tài nguyên của chính họ thì phải luôn mang theo token này. Điều này đã được nói ở những số trước rồi, chằng hạn như token là gì? Hay vì sao login github cần phải lấy được token? Đồng đội vào xem tiếp.

Vì sao Bearer trước token?

Cú pháp Authorization: quay trở về lịch sử vẻ vang một tẹo thì cú pháp này được giới thiệu ở W3C in HTTP 1.0 và cũng chính từ này mà được tái sử dụng nhiều nơi. Do nhiều nơi cắm đầu sử dụng cho nên đồng đội ta thời điểm hiện nay phải đau đầu là vì vậy, chứ chẳng quan trọng gì cả? Đó là tôi đoán thôi. Nhưng thực tế thì có những trường hợp mình khai báo mỗi token thôi thì không đủ. Phải thật đầy đủ mới được.

Authorization : Bearer cn389ncoiwuencr

Đấy là do mấy cụ tổ đi trước khái niệm như vậy thì đồng đội ta sau này sao mà làm sai được, việc này làm tôi liên tưởng đến việc check null mà ra Object trong nội dung bài viết 44 vướng mắc phỏng vấn nhanh trong javascript thật là vãi đạn.

Nếu không khai báo Bearer thì chuyện gì xẩy ra với Authorization?

Xem Thêm : Quỹ khen thưởng phúc lợi theo Thông tư 200/2014/TT-BTC

Tiếp theo và cũng là phần trả lời cuối cho nội dung bài viết này. Liệu team back end bảo không cần “bearer” đâu, vậy có đúng hay là không? Đúng, không sao cả, bởi như giảng giải ở trên thì việc sử dụng “bearer” đó là một quy ước lâu năm. Chính vì đó là quy ước thì không thể làm chuẩn hết được. Điều đó giúp tất cả chúng ta cũng có thể có một quy ước mà thôi. Ví dụ bên tôi thì tôi quy ước là Basic hay đại loại là JWT. Như ví dụ tại chỗ này:

let [scheme, token] = req.headers.authorization.split(‘ ‘) // now depending on the scheme value, treat token differently. switch(scheme) { case ‘Bearer’: // check token is valid, (means are out of the scope of the question) // example header “Bearer RUq7nTFjPl” break; case ‘Basic’ // check that username and password are valid // example header “Basic someusername:somepassword” break; case ‘JWT’: // check that presented token is valid JWT intended for this server break; default: res.status(403) return res.end(‘Unsupported authorization scheme’) }

Đây là một ví dụ có thể không được tối ưu cho lắm, nhưng cũng đủ giúp cho những bạn trả lại được vướng mắc như trên.

Tóm lại

Như tôi đã nói “Authorizing” là một khái niệm, quy trình rất quan trọng. Nó liên quan tới bảo mật thông tin mạng lưới hệ thống, phát hiện lỗ hổng ngay từ trên đầu và từ đâu. Đồng đội nào yêu thích và thích tìm tòi thêm nữa thì có thể qua những nội dung bài viết về token, refresh token… Cảm ơn đã đọc!!