Tai Titans Dev
  • Welcome
    • About Me
    • Experience Project
  • Interviews
    • Java Core
      • Java Basic
      • Collection
      • Concurrency
      • Memory Management
      • Java Strings
  • Hibernate
  • Monads
  • OOP
  • SOLID
  • SQL
  • NoSQL
  • Network
  • Redis
  • Kafka
  • Docker
  • DSA
  • ElasticSearch
  • Design Pattern
  • AWS
  • Document
    • Java Core
      • Java 21 SE
        • Language Specification
          • Chapter 1. Introduction
          • Chapter 2. Grammars
          • Chapter 3. Lexical Structure
          • Chapter 4. Types, Values, and Variables
          • Chapter 5. Conversions and Contexts
          • Chapter 6. Names Convention
          • Chapter 7. Packages and Modules
          • Chapter 8. Classes
          • Chapter 9. Interfaces
          • Chapter 10. Arrays
          • Chapter 11. Exceptions
          • Chapter 13. Binary Compatibility
          • Chapter 14. Blocks, Statements, and Patterns
          • Chapter 15. Expressions
          • Chapter 16. Definite Assignment
          • Chapter 17. Threads and Locks
          • Chapter 18. Type Inference
          • Chapter 19. Syntax
        • Virtual Machine Specification
          • Chapter 1. Introduction
          • Chapter 2. The Structure of the Java Virtual Machine
          • Chapter 3. Compiling for the Java Virtual Machine
          • Chapter 4. The class File Format
          • Chapter 5. Loading, Linking, and Initializing
          • Chapter 6. The Java Virtual Machine Instruction Set
          • Chapter 7. GarbageCollection
      • Java Concurrency
      • Java Concurrency 2
      • Maven
      • Java Collection
      • Java Generics
      • String, StringBuilder, StringBuffer
      • String Joiner
      • TimeUnit
    • Golang
      • Session
        • Concurrency
        • Golang OOP
        • Golang Basic
        • Golang Basic
      • Session
        • Memory and Performance
        • Handle Error
        • Optimize Code and Best Practice
      • Session
        • Database
        • Gin Example
      • Framework
        • Gin
        • Project Structure
        • GIN Router
        • GIN MVC
        • GIN Error Handler
      • fsync
      • Advance Golang
        • Golang Core
          • Variables
          • Slices
          • Maps
          • Structs
          • Interfaces
          • Pointers
          • Concurrency
            • Goroutine
            • Channels
            • Select
            • Mutex
            • WaitGroup
            • Worker Pool
          • Error handling
          • Memory management
            • Garbage Collection
            • stack vs heap
            • Memory Optimization
    • SQL
      • MySQL vs PostgreSQL
      • PostgreSQL
        • 1. Foundation
      • MySQL
        • INSERT_MYSQL
        • SELECT_MYSQL
        • UPDATE_MYSQL
        • DELETE_MYSQL
      • Indexing
      • Join
      • DatabaseNormalization
      • Compare-And-Swap
      • Cluster-Replication
      • offset-vs-cursor-based-pagination
      • Partitioning
      • Trigger
      • Transactions
        • Isolation Levels
        • MVCC
      • StoredProceduresandTriggers
    • Kafka Theory
      • Introduction
      • Message Broker
      • Kafka Introduction
      • Kafka Architecture with Zookeeper
      • Topic và Partition
      • Kafka with Kraft mode
      • Kafka with KRaft Mode - Docker Compose
      • Offset & Record
      • Kafka Producer
      • Kafka Fetch and HTTP Polling
      • Kafka Consumer
      • Kafka Replication
      • Kafka Producer Advanced
      • Serialization
    • Design Pattern
      • Creational
        • Singleton
        • Builder
    • Networking
      • Networking Models
      • DNS
      • HTTP - HTTPS
      • TCP - UDP
      • Ipv4 - Ipv6
      • LAN
      • PORT
      • PROTOCOLS
      • QUIC
      • TUNNEL
    • Backend Core
      • API-Pagination
      • Architecture
      • Blacklist-Whitelist
      • Caching
      • CDN
      • CleanArchitecture
      • CQRS
      • DDD
      • DependencyInjection
      • DistributedSystem
      • HATEOAS
      • LocalStorage-Cookie-Session
      • Memcached
      • Oauth
      • RESTfulWebServices
      • Servers-URL-Flow
      • Short Polling vs Long Polling
      • SOAP API
      • TypesenseSearch
      • WebHook
      • WebSocket
      • Process vs Thread
    • Spring Framework
      • ApacheTomcat
      • Terminology
      • Core
        • IoC
        • Denpendency_Injection
        • Bean
        • Bean_Proxying
        • ApplicationContext
        • Constructor_Injection
        • Setter_Injection
        • Spring AOP
        • Spring Factory
        • Spring Scope
      • Anotation
        • @SpringBootApplication
        • @Autowired - @Value
        • @Bean - @Conditional
        • @Component
        • @Controller - @RestController -@ResponseBody
        • @Lazy - @Primary - @Qualifier - @DependsOn
        • @Repository- @ComponentScan- @Configuration
        • @Service
        • @Transactional - @Query - @Modifying
      • Spring Data JPA
        • Spring Data JPA
        • SpringDataJPA_Architechture
        • Transaction_And_Concurrency
        • Entity_LifeCycle
        • Auditing_And_Event Listeners
        • Batch Processing__Bulk Operations
        • Multi-Tenancy
        • ORM_ADVANCE
        • Querying_And_Performance_Optimiz
      • Spring Security
        • Chapter 1. Security Theory
          • Authentication
          • Authorization
          • Encryption
          • Session Management
        • Chapter 2. Spring Security
          • 1. Filter Chain
          • 2. Security Context
          • 3. Authentication Flow
          • 4. Authorization Flow
        • Chapter 3. Method Security Theory
          • HTTP_HTTPS
          • JSON Web Token
          • Oauth2
          • OpenID Connect
    • Redis
      • Redis_Architecture
      • Redis_Persistence
      • Why_Redis_Fast
      • Redis Pub/Sub
      • Redis Stream
    • Flow Business
      • Jira
      • GIT
        • Handle GIT
    • Microservices
      • LoadBalancer
      • API-Gateway
      • CircuitBreaker
      • RateLimiter
      • Resilient
      • ProxyRequest
      • Saga Pattern
      • gRPC
    • DDD
      • Structure
  • AWS
    • VPC
    • Subnet
    • Security Group
  • Advance
    • Optimize
      • Database Scaling
        • Sharding
          • Type Sharding
          • Solutions
          • Consistent Hashing
          • Denormalization
        • Replication
          • Structure
          • Master-Slave Replication
Powered by GitBook
On this page
  1. Document
  2. Spring Framework
  3. Spring Security
  4. Chapter 1. Security Theory

Authentication

1. Định nghĩa: Quá trình xác minh danh tính của người dùng hoặc hệ thống

  • Authentication là gì? Authentication là bước xác định "bạn là ai" trong một hệ thống. Nó đảm bảo rằng người dùng (hoặc hệ thống khác) đang truy cập là hợp lệ, thông qua việc kiểm tra thông tin đăng nhập (credentials) như username/password, token, hoặc các yếu tố khác.

  • Trong Spring Security:

    • Spring Security quản lý xác thực thông qua AuthenticationManager, một thành phần cốt lõi chịu trách nhiệm xử lý và xác minh thông tin đăng nhập.

    • Khi xác thực thành công, thông tin người dùng được lưu trong SecurityContext, cho phép hệ thống biết ai đang thực hiện yêu cầu.

2. Các phương pháp xác thực

Dưới đây là ba phương pháp phổ biến và cách Spring Security hỗ trợ chúng:

a. Username/Password

  • Ý nghĩa: Đây là cách truyền thống nhất, yêu cầu người dùng cung cấp tên đăng nhập và mật khẩu.

  • Cách hoạt động trong Spring Security:

    • Sử dụng UsernamePasswordAuthenticationFilter để xử lý form đăng nhập.

    • Cấu hình một UserDetailsService để lấy thông tin người dùng từ cơ sở dữ liệu hoặc in-memory.

  • Ví dụ cơ bản:

    @Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("admin")
            .password("{noop}password") // {noop} để không mã hóa, thực tế dùng BCrypt
            .roles("ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .and()
            .formLogin(); // Form đăng nhập mặc định
    }
}

    • Ở đây, Spring Security tạo một form đăng nhập và kiểm tra username/password.

b. Token-based (JWT - JSON Web Token)

  • Ý nghĩa: Thay vì lưu session trên server, hệ thống sử dụng token (JWT) để xác thực. Token được gửi trong header của mỗi request (thường là Authorization: Bearer <token>).

  • Cách hoạt động trong Spring Security:

    • Sử dụng một custom filter (thường là JwtAuthenticationFilter) để kiểm tra và xác minh token.

    • Không dựa vào session, phù hợp với ứng dụng stateless (như REST API).

  • Ví dụ cơ bản:

    public class JwtAuthenticationFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        String header = request.getHeader("Authorization");
        if (header != null && header.startsWith("Bearer ")) {
            String token = header.substring(7);
            // Xác minh token (dùng thư viện như jjwt)
            UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken("user", null, Arrays.asList(new SimpleGrantedAuthority("ROLE_USER")));
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
        chain.doFilter(request, response);
    }
}

    • Trong thực tế, bạn cần tích hợp thư viện JWT (như io.jsonwebtoken) để tạo và xác minh token.

c. Multi-Factor Authentication (MFA)

  • Ý nghĩa: Yêu cầu nhiều yếu tố để xác thực, ví dụ: mật khẩu + mã OTP (One-Time Password) gửi qua SMS hoặc ứng dụng như Google Authenticator.

  • Cách hoạt động trong Spring Security:

    • Tùy chỉnh AuthenticationProvider để kiểm tra thêm yếu tố thứ hai sau khi xác thực username/password.

    • Thêm bước xác minh OTP vào quy trình.

  • Ví dụ cơ bản:

    • Bạn có thể viết một CustomAuthenticationProvider:

    @Component
public class CustomAuthenticationProvider implements AuthenticationProvider {
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();
        // Kiểm tra username/password
        if (validUser(username, password)) {
            // Kiểm tra OTP (giả sử từ request hoặc DB)
            String otp = getOtpFromRequest();
            if (verifyOtp(username, otp)) {
                return new UsernamePasswordAuthenticationToken(username, password, Arrays.asList(new SimpleGrantedAuthority("ROLE_USER")));
            }
        }
        throw new BadCredentialsException("Xác thực thất bại");
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
    }
}

    • Sau đó, thêm provider này vào cấu hình Spring Security.

3. Lý thuyết liên quan: Hashing, Salt trong mã hóa mật khẩu

  • Hashing là gì?

    • Hashing biến mật khẩu thành một chuỗi cố định không thể đảo ngược (one-way function). Ví dụ: "password123" → "a1b2c3...".

    • Mục đích: Tránh lưu mật khẩu dạng plaintext trong cơ sở dữ liệu.

  • Salt là gì?

    • Salt là một chuỗi ngẫu nhiên thêm vào mật khẩu trước khi hash, để đảm bảo cùng một mật khẩu không tạo ra cùng một hash (phòng chống tấn công Rainbow Table).

    • Ví dụ: "password123" + salt "xyz" → hash khác với "password123" + salt "abc".

  • Trong Spring Security:

    • Spring Security sử dụng PasswordEncoder để mã hóa mật khẩu. Các triển khai phổ biến:

      • BCryptPasswordEncoder: Sử dụng BCrypt, tự động thêm salt.

      • Pbkdf2PasswordEncoder, Argon2PasswordEncoder: Các lựa chọn khác mạnh mẽ hơn.

  • Ví dụ sử dụng BCrypt:

    @Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(customUserDetailsService)
        .passwordEncoder(passwordEncoder());
}

    • Khi lưu user vào DB, bạn mã hóa mật khẩu:

    String rawPassword = "password123";
String encodedPassword = passwordEncoder().encode(rawPassword); // Lưu encodedPassword vào DB

    • Khi xác thực, Spring tự động so sánh mật khẩu người dùng nhập với bản mã hóa.

Tóm tắt

  • Username/Password: Dễ triển khai, phù hợp với ứng dụng web truyền thống.

  • JWT: Phù hợp với API và hệ thống stateless.

  • MFA: Nâng cao bảo mật, cần tùy chỉnh nhiều hơn.

  • Hashing/Salt: Đảm bảo an toàn mật khẩu, BCrypt là lựa chọn mặc định tốt.

PreviousChapter 1. Security TheoryNextAuthorization

Last updated 9 days ago