The Copenhagen Book: Hướng dẫn chung để triển khai xác thực trong ứng dụng web

 (thecopenhagenbook.com)
7 điểm bởi GN⁺ 2024-10-11 | 1 bình luận | Chia sẻ qua WhatsApp

  • The Copenhagen Book

    • The Copenhagen Book là một dự án mã nguồn mở miễn phí, cung cấp các hướng dẫn tổng quát để triển khai xác thực trong ứng dụng web
    • Được cộng đồng duy trì, đôi khi có thể mang tính chủ quan hoặc chưa hoàn chỉnh, nhưng nhằm lấp đầy khoảng trống của các tài nguyên trực tuyến
    • Khuyến nghị sử dụng cùng với OWASP Cheat Sheet Series

  • Token phía máy chủ

    • Giải thích cách quản lý token ở phía máy chủ để tăng cường bảo mật

  • Phiên

    • Giải thích cách duy trì trạng thái xác thực liên tục thông qua quản lý phiên người dùng

  • Xác thực bằng mật khẩu

    • Cung cấp hướng dẫn liên quan đến các phương pháp xác thực bằng mật khẩu an toàn

  • Xác thực email

    • Giải thích quy trình xác thực người dùng qua email

  • Đặt lại mật khẩu

    • Giải thích cách triển khai tính năng đặt lại mật khẩu

  • Tạo giá trị ngẫu nhiên

    • Giải thích cách tạo các giá trị ngẫu nhiên cần thiết cho bảo mật

  • OAuth

    • Giải thích cách triển khai xác thực bằng giao thức OAuth

  • Xác thực đa yếu tố (MFA)

    • Giải thích cách tăng cường bảo mật thông qua MFA

  • WebAuthn

    • Giải thích cách triển khai xác thực web bằng WebAuthn

  • Giả mạo yêu cầu liên trang (CSRF)

    • Giải thích cách ngăn chặn các cuộc tấn công CSRF

  • Chuyển hướng mở

    • Giải thích cách ngăn chặn lỗ hổng chuyển hướng mở

  • Mã hóa

    • Giải thích cách bảo vệ dữ liệu bằng các kỹ thuật mã hóa

  • ECDSA

    • Giải thích cách triển khai chữ ký số bằng thuật toán ECDSA

  • Liên kết

    • Cung cấp kho lưu trữ GitHub, Twitter, OWASP Cheat Sheet Series và liên kết quyên góp

Tổng hợp của GN⁺

  • The Copenhagen Book là một tài nguyên hữu ích cho các lập trình viên khi cung cấp hướng dẫn toàn diện về triển khai xác thực trong ứng dụng web
  • Bao quát nhiều phương pháp xác thực và kỹ thuật tăng cường bảo mật, giúp nâng cao hiểu biết về an ninh
  • Sẽ hiệu quả hơn khi dùng cùng với OWASP Cheat Sheet Series, đồng thời có thể góp phần ngăn ngừa các lỗ hổng bảo mật
  • Những dự án có chức năng tương tự bao gồm nhiều bộ hướng dẫn khác nhau của OWASP và các khuyến nghị bảo mật của NIST

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-10-11
Ý kiến Hacker News

  • Tác giả của thư viện Lucia cảm thấy Lucia không còn phù hợp để triển khai xác thực nữa, nên đã công bố một loạt hướng dẫn thay thế

    • Có cung cấp bản xem trước của hướng dẫn ban đầu, đọc khá thú vị và rất hợp với The Copenhagen Book

  • 90% tài liệu về bảo mật quá khó hiểu đối với người không chuyên, nhưng hướng dẫn này rõ ràng, ngắn gọn và có thể áp dụng được

    • Phần về đường cong elliptic vẫn khá khó hiểu

  • Nhiều lời khuyên về bảo mật có vẻ tối nghĩa và đôi khi phi lý, nhưng hướng dẫn này mang đến những lời khuyên mới mẻ và dễ hiểu

    • Sẽ hay hơn nếu có thêm một mục về JWT

  • Sẽ tốt hơn nếu làm rõ "auth" là xác thực (authn) hay phân quyền (authz)

    • Có vẻ ở đây đang nói đến xác thực

  • Việc đề cập rằng UUIDv4 có nhiều entropy nhưng có thể không an toàn về mặt mật mã là điều gây ấn tượng

    • Với hầu hết ứng dụng thì không thành vấn đề, nhưng vẫn cần nhận thức được điều đó

  • Mật khẩu nên có ít nhất 8 ký tự, và nên dùng thư viện như zxcvbn để kiểm tra mật khẩu yếu

    • Điều này tốt cho các trang có yêu cầu bảo mật cao, nhưng việc tạo mật khẩu dài cho tài khoản dùng một lần thì khá phiền

  • Có ai biết vì sao lại có tên là "Copenhagen Book" không?

  • Chỉ cần triển khai xác thực một lần là có thể dùng ở mọi nơi

  • Tôi ước các trang web cung cấp tùy chọn "không để phiên hết hạn cho đến khi đăng xuất"

    • Việc GitHub hết hạn phiên và yêu cầu 2FA quá bất tiện nên tôi đã chuyển sang Gitea
    • Nếu mô hình bảo mật không đủ linh hoạt thì có thể sẽ mất khách hàng

  • Đây là một hướng dẫn tuyệt vời, xin cảm ơn