OAuth2.0 là một giao thức authorization, cho phép truy cập tài nguyên của resource owner bằng cách bật client applications trên các dịch vụ HTTP như Facebook, GitHub, v.v. Nó cho phép chia sẻ tài nguyên được lưu trữ trên trang này sang trang khác mà không cần sử dụng thông tin đăng nhập của họ . Nó sử dụng token như tên người dùng và mật khẩu để thay thế. Sau đây là phần giải thích cách thức hoạt động của OAuth 2.0 một cách dễ hiểu nhất.
- Có một máy chủ quản lý dữ liệu của người dùng. Máy chủ được gọi là "Resource Server".
- Client application muốn sử dụng user's data thì cần phải gọi thông qua API
- Client application call api và resource server sẽ trả về user's data
Qua 3 steps trên thì ứng dụng nào cũng có thể lấy data, chúng ta cần có bước cấp quyền để được phép truy cập tài nguyên, và nó gọi là Access Token. - Access Token sẽ được cấp cho client applicatiton và khi request để lấy data thĩ sẽ gửi kèm access token để verify
- Resource server sẽ trích xuất access token để verify. Nếu access token verify tức là client application có quyền truy cập vào dữ liệu của người dùng.
- Chúng ta có access token để cấp quyền truy cập, vậy ai tạo ra access token và đó là Authorization Server
- Authorization Server sẽ tạo access token cho clien application
- Trong ứng dụng thực tế client application sẽ yêu cầu access token trước và resource server sẽ yêu cầu cấp cho phép truy cập data của user. Sau đó mới tạo access token cho client application.
- Vùng tròn màu đỏ chính là OAuth 2.0. Nó là chuẩn hóa hiện nay đang dùng cho phần này.
Chúng ta đã cùng nhau tìm hiểu cách thức hoạt động cơ bản về oauth 2.o. Nếu muốn tìm hiểu chi tiết hơn về nó thì có thể tham khảo thêm trong tài liệu chính thức về oauth tại đây nhé.
Happy coding!