learning tutorial cybersecurity authentication

JWTs trong Go: Khám Phá Sâu Về Xác Thực An Toàn (Và Những Bài Học "Xương Máu"!)

Lê Lân

18/06/2025

JWTs Trong Go: Khám Phá Sâu Về Xác Thực An Toàn

Mở Đầu

JWT (JSON Web Token) đang trở thành chuẩn mực trong việc xác thực và phân quyền trong các ứng dụng hiện đại. Nhưng làm thế nào để triển khai JWT một cách an toàn và hiệu quả trong Go – một ngôn ngữ lập trình mạnh mẽ, nhanh và được ưa chuộng?

Vài tháng trước, tôi có cơ hội đồng trình bày trong một buổi talk công nghệ với chủ đề "JWTs trong Go: Khám Phá Sâu Về Xác Thực An Toàn". Buổi chia sẻ không chỉ mang đến kiến thức mà còn giúp tôi thu nhận được nhiều bài học quan trọng về JWT và cách tích hợp chúng trong Go.

Bài viết này sẽ tổng hợp lại nội dung buổi talk, bao gồm khái niệm căn bản, lợi ích khi sử dụng JWT trong Go, cách triển khai cơ bản, những sai lầm thường gặp và các mẹo thực tiễn giúp bảo mật tốt hơn.

JWT Là Gì?

Khái Niệm Cơ Bản

JWT giống như một hộ chiếu kỹ thuật số, giúp hai bên trong ứng dụng có thể trao đổi tin cậy mà không cần hỏi đi hỏi lại: “Bạn là ai?”

Chúng bao gồm ba phần chính:

Header: Thông tin về thuật toán mã hóa và loại token.

Payload: Các claim (tuyên bố) như ID người dùng, vai trò, quyền hạn...

Signature: Dùng để xác nhận token không bị giả mạo hay thay đổi.

JWT được mã hóa (encoded) chứ không phải mã hóa bảo mật (encrypted), do đó bạn chỉ xác minh chứ không tin tưởng tuyệt đối vào dữ liệu chứa trong token.

Cấu Trúc Token JWT

Phần	Mô Tả
Header	Thuật toán và loại token
Payload	Dữ liệu chứa các claims
Signature	Xác nhận tính toàn vẹn token

Tại Sao Chọn JWT Trong Go?

Go nổi bật vì:

Tốc độ nhanh & hiệu quả: Rất phù hợp cho phát triển API hiện đại.

Đơn giản hoá quản lý trạng thái: JWT là stateless, loại bỏ nhu cầu lưu phiên đăng nhập trên server.

Dễ dàng mở rộng: Phù hợp ứng dụng lớn, phục vụ nhiều user đồng thời.

Tuy nhiên, khoảng cách giữa đơn giản và phức tạp nằm ở cách ta triển khai. Việc giữ cho JWT an toàn đòi hỏi hiểu biết cặn kẽ và thực hành tốt.

Cách Xác Thực JWT Trong Go Hoạt Động

Quy Trình Đơn Giản

Người dùng đăng nhập với thông tin hợp lệ.

Server kiểm tra thông tin rồi tạo JWT ký với khoá bảo mật.

Client lưu lại token (thường là localStorage hoặc cookie).

Mỗi lần gọi API, token được gửi trong header Authorization.

Server xác thực token, cho phép hoặc từ chối truy cập.

Công Cụ Thông Dụng

Chúng tôi đã sử dụng thư viện github.com/golang-jwt/jwt/v5 – một trong những package phổ biến nhất giúp sinh và xác thực token dễ dàng.

Triển Khai JWT Trong Go

Hàm Tạo Token

func GenerateJWT(username string) (string, error) {
	claims := jwt.RegisteredClaims{
		Subject:   username,
		ExpiresAt: jwt.NewNumericDate(time.Now().Add(2 * time.Hour)),
		IssuedAt:  jwt.NewNumericDate(time.Now()),
	}
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	return token.SignedString([]byte("your-secret-key"))
}

ExpiresAt đảm bảo token có thời hạn, tránh rủi ro token “bất tử”.

your-secret-key cần được bảo vệ kỹ càng, không commit công khai.

Hàm Xác Thực Token

func ValidateJWT(tokenStr string) (*jwt.RegisteredClaims, error) {
	token, err := jwt.ParseWithClaims(tokenStr, &jwt.RegisteredClaims{}, func(t *jwt.Token) (interface{}, error) {
		return []byte("your-secret-key"), nil
	})
	if err != nil || !token.Valid {
		return nil, err
	}
	claims, ok := token.Claims.(*jwt.RegisteredClaims)
	if !ok {
		return nil, errors.New("invalid claims")
	}
	return claims, nil
}

Kiểm tra tính hợp lệ của token.

Trả về thông tin claim nếu token hợp lệ, ngược lại trả lỗi.

Luôn validate tất cả claims, kể cả những claim bạn nghĩ là không quan trọng!

Những Bài Học Đắt Giá Khi Làm Việc Với JWT

Các Sai Lầm Thường Gặp

❌ Lưu trữ dữ liệu nhạy cảm (mật khẩu, thông tin cá nhân...) trực tiếp trong payload.

❌ Không đặt thời hạn (expiration) cho token, dẫn đến token tồn tại vô thời hạn.

❌ Sử dụng khoá bí mật yếu, dễ bị tấn công dò tìm.

Mẹo Thực Tiễn

✅ Sử dụng token truy cập có thời hạn ngắn kèm token làm mới (refresh token) để đảm bảo an toàn.

✅ Giữ khoá bí mật trong biến môi trường hoặc hệ thống vault an toàn.

✅ Luôn phân quyền chính xác dựa trên claims, không chỉ dựa vào token hợp lệ.

Chiến Lược Làm Mới Token (Token Refreshing)

Quản lý access token và refresh token không hề đơn giản. Go không tự xử lý việc này mà bạn cần tự xây dựng logic:

Thời gian sống của access token ngắn, hạn chế rủi ro.

Refresh token dùng để lấy access token mới khi cần.

Điều kiện luân phiên giữ an toàn và tối ưu trải nghiệm người dùng.

Kết Luận

JWT là công cụ mạnh mẽ nhưng không phải phép màu. Go cung cấp nền tảng giúp bạn triển khai xác thực token hiệu quả, nhưng bảo mật hoàn toàn phụ thuộc vào cách bạn thiết kế.

Lời khuyên thiết thực:

Không bao giờ tin tưởng token một cách mù quáng.

Luôn kiểm tra kỹ lưỡng các thông tin trong token.

Nhớ rằng kỹ thuật cũng chỉ là một phần, yếu tố con người – tư duy và quy trình mới là then chốt.

Nếu bạn quan tâm tới việc ứng dụng JWT trong Go, hãy bắt đầu thử nghiệm với các đoạn code trên, đồng thời nắm vững những nguyên tắc bảo mật để tránh những sai sót nghiêm trọng.

Tham Khảo

github.com/golang-jwt/jwt - Thư viện Go chính thức hỗ trợ JWT

Jones, M., Bradley, J., & Sakimura, N. (2015). JWT RFC 7519. IETF

OWASP. JSON Web Token (JWT) Cheat Sheet for Java

Bălan, D. (2023). "Secure Authentication with JWT in Go"

JWT.io. Learn about JSON Web Tokens and security practices

June 1, 2024