Nội dung bài viết
#

HTTP Authentication là gì? Cách thức hoạt động

Nội dung bài viết

    Để bảo vệ người dùng khi truy cập internet, các trang web đều tăng cường tính bảo mật. Trong đó, việc xác thực người dùng sẽ lưu trữ bạn là ai, thông tin chi tiết người truy cập để giữ sự an toàn.

    Những điều đó được duy trình thông qua HTTP Authentication. Vậy thuật ngữ này là gì, nó mang tới những quyền lợi nào cho người truy cập internet?

    Hãy cùng BKHOST tìm hiểu chi tiết trong bài viết dưới đây.

    HTTP Authentication là gì?

    HTTP authentication la gi

    HTTP authentication – còn được gọi là cơ chế xác thực HTTP giúp người dùng xác minh danh tính. Nó là một cơ chế bảo mật kiểm tra xem người dùng có đủ điều kiện truy cập web hay không. Khi máy khách và máy chủ giao tiếp với nhau, dựa vào thành phần HTTP, máy chủ sẽ yêu cầu thông tin đăng nhập để xác thực. Vậy nên có thể nói, việc xác thực web sẽ thông qua tiêu chuẩn HTTP bảo đảm an toàn cho người dùng.

    Một phiên bản bảo mật hơn HTTP chính là HTTPS (S viết tắt từ SSL) có khả năng thiết lập mã hóa khi giao tiếp. Có nhiều cách để cơ chế xác thực HTTP để khiến cho các thông tin đăng nhập của tin tặc không đủ quyền bẻ khóa. Từ đó, việc truy cập của người dùng sẽ trở nên an toàn hơn trong môi trường mạng.

    Các sơ đồ HTTP Authentication phổ biến

    Khi truy cập bằng chế độ bảo mật, HTTP thông qua cơ chế xác thực đảm bảo sự an toàn. Có rất nhiều sơ đồ xác thực được sử dụng ở đây, các cái tên phổ biến như:

    • HTTP Authentication Schemes: còn được gọi là lược đồ xác thực HTTP. Máy chủ đưa ra những lược đồ xác thực khác nhau cho người dùng lựa chọn. Chúng đều là những phương pháp dùng trên web cho độ an toàn cao.
    • Basic authentication (xác thực cơ bản): còn được gọi là mô hình thử thách – phản hồi. Máy chủ yêu cầu xác thực và máy khách cung cấp tên người dùng, mật khẩu. Đó là cơ chế xác thực một yếu tố và thông tin được trao đổi ở định dạng văn bản rõ ràng.
    • Digest authentication (xác thực thông báo): loại này an toàn hơn xác thực cơ bản. Cũng với quy trình xác thực giống nhau nhưng nó có thêm giá trị nonce và thuật toán MD5 để mã hóa. Từ đó tăng cường bảo mật khi xác thực danh tính người dùng.
    • Bearer authentication (xác thực đa yếu tố): xác thực dựa trên mã thông báo. Nó có thêm một lớp bổ sung và bảo mật cấp với mã thông báo để xác thực thông tin nhận được từ người dùng.
    • NTLM (New Technology LAN Manager – quản lý mạng LAN theo công nghệ mới). Đây là một giao thức bảo mật của Windows xác thực danh tính người dùng mà không cần thông tin đăng nhập và truy cập vào tài nguyên.
    • Negotiate authentication (đàm phán xác thực): là phiên bản nâng cấp của NTLM. Nó sử dụng giao thức Kerberos làm nhà cung cấp xác thực một cách nhanh chóng và an toàn.

    Mỗi một loại xác thực lại có ưu – nhược điểm riêng. Tuy nhiên chúng đều nhằm vào mục đích bảo mật tài nguyên web. Trong đó Basic authentication là mức thấp nhất và có tính bảo mật không quá cao.

    HTTP Authentication hoạt động như thế nào?

    HTTP có một framework chung để kiểm soát kiềm truy cập của người dùng vào tài nguyên web. Tất nhiên framework sẽ dựa vào tiêu đề (header) xác thực để sử dụng. Các header hỗ trợ người dùng cách cung cấp thông tin đăng nhập của họ và hồ sơ. Có hai loại header chủ yếu là: WWW-Authenticate header và Proxy Authentication header.

    Cú pháp của các header:

    • WWW-Authenticate: <type> realm=<realm>
    • Proxy-Authenticate: <type> realm=<realm>

    Trong đó:

    • <type>: lược đồ sử dụng trong quy trình xác thực.
    • <realm>: phạm vi bảo mật cho máy khách.

    Dưới đây là quy trình hoạt động của HTTP authentication:

    Cach thuc hoat dong cua HTTP authentication

    1.Giai đoạn Request (Yêu cầu)

    Máy khách đưa ra yêu cầu truy cập dưới dạng ẩn danh. Lúc đó máy chủ không có bất cứ thông tin nào về máy khách yêu cầu.

    2.Giai đoạn Challenge (Thách thức, yêu cầu xác minh)

    Sau khi thấy yêu cầu, máy chủ sẽ phản hồi trạng thái 401 (không được phép). Tiếp đó nó hướng dẫn người dùng cần xác minh danh tính ở phần header.

    3.Giai đoạn Response (Phản hồi)

    Máy khách phản hồi yêu cầu xác thực của máy chủ bằng tên người dùng, mật khẩu để truy cập vào tài nguyên.

    4.Giai đoạn Proxy Authentication (Xác thực Proxy)

    Máy chủ Proxy sẽ gửi trạng thái 407 yêu cầu xác thực. Nó sẽ đứng ra cung cấp xác thực cho máy khách để truy cập tài nguyên. Trường hợp này sẽ chỉ xảy ra khi bạn sử dụng máy chủ Proxy để xác thực.

    5.Giai đoạn xác minh

    Sau khi đã nhận được thông tin đăng nhập, máy chủ sẽ xác minh chúng. Nếu thông tin không hợp lệ, nó trả về trạng thái 403 (không hợp lệ). Nếu trong trường hợp thông tin đăng nhập đúng nó sẽ ra thông báo chào mừng.

    Tổng kết về HTTP Authentication

    Thực tế, quá trình xác thực HTTP Authentication diễn ra khá phức tạp. Các bước trong quy trình trên chỉ là những bước chính, đặc biệt ở những hệ thống lớn. Các lớp bảo mật bổ sung nên được thêm vào để bảo vệ người dùng khỏi tin tặc. Có thể từ xác thực một yếu tố, hai yếu tố hoặc đa yếu tố sẽ đảm bảo sự an toàn người dùng khi giao tiếp trên mạng.

    Nếu còn gặp bất cứ vướng mắc gì về HTTP authentication, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

    P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.

    Mua Hosting tại BKHOST

    Khuyến mãi giảm giá cực sâu, chỉ từ 5k/tháng. Đăng ký ngay hôm nay:

    hosting ssd

    Tôi là Trịnh Duy Thanh, CEO & Founder Công ty Cổ Phần Giải Pháp Mạng Trực Tuyến Việt Nam - BKHOST. Với sứ mệnh mang tới các dịch vụ trên Internet tốt nhất cho các cá nhân và doanh nghiệp trong nước và quốc tế, tôi luôn nỗ lực hết mình nâng cấp đầu tư hệ thống phần cứng, nâng cao chất lượng dịch vụ chăm sóc khách hàng để đem đến những sản phẩm hoàn hảo nhất cho người tiêu dùng. Vì vậy, tôi tin tưởng sẽ đem đến các giải pháp CNTT mới nhất, tối ưu nhất, hiệu quả nhất và chi phí hợp lý nhất cho tất cả các doanh nghiệp.
    Bình luận
    Trượt lên đầu trang
    Miễn phí cước gọi
    Bạn đã hài lòng với trải nghiệm trên Bkhost.vn?
    Cảm ơn lượt bình chọn của bạn, Chúc bạn 1 ngày tốt lành !