Giải ngố về cookies, session và cách duy trì đăng nhập khi tắt tab hoặc đóng cửa sổ .NET

Giải ảo Token, Cookie và Request header Hi, câu trả lời của anh Minh khá ổn áp rồi, tuy nhiên mình vẫn muốn giải thích lại cho bạn dễ hiểu nhé. 🥑 Access token và Refresh toke Access token là token để authenticate, tuy nhiên thường vì lý do bảo mật, mà TTL (time-to-live) của loại token này sẽ được set khá ngắn (có khi 30 phút). Do vậy nên người ta áp dụng thêm Refresh token có TTL dài hơn để claim lại 1 access token mới. 🌀 Cookie có tồn tại ở Client hay cả Server? Cookie được sử dụng ở cả 2 phía, tuy nhiên ở phía client-side nếu chúng ta không chủ động chỉnh sửa nội dung cookie, thì việc này sẽ được thực hiện tự động. Thông thường các ứng dụng web truyền thống (không phải SPA) sẽ set cookie ở phía server (bằng key Set-Cookie) để truyền về cho client để xác thực người dùng. Lúc đó client không cần thực hiện hành động nào khi đăng nhập, bởi vì client sẽ lấy luôn cookie của request trước đó mà sử dụng cho các request tiếp theo. 💾 Lưu vào bộ nhớ nào của trình duyệt? Trình duyệt có các loại bộ nhớ khác nhau như Session storage, LocalStorage,… Mỗi loại có 1 đặc tính khác nhau, bạn lên mdn đọc sẽ thấy, và mình có thể tùy chọn sử dụng loại nào bằng javascript, tuy nhiên nếu dùng để lưu thông tin đăng nhập, thì lưu vào Cookie là ổn thỏa nhất. Còn local storage thường dùng để lưu thông tin dài hạn hơn. Tham khảo bài viết mình đính kèm phía dưới để biết tại sao lại như vậy. Về các thuộc tính sameSite, httpOnly thì sẽ set ở backend, trong bài viết phía dưới mình cũng đã đề cập luôn. Câu 4, 5, 6 thì đã được anh Minh trả lời rồi. 🖇️ Tham khảo: Bài viết: Authentication với JWT, lưu token ở đâu là bảo mật nhất? https://viblo.asia/p/authentication-voi-jwt-luu-token-o-dau-la-bao-mat-nhat-aNj4vz2v46r Nếu hữu ích, xin ủng hộ mình 1 upvote, hehe

Session, cookie và cách hoạt động của auth Chào supnep, các câu hỏi của bạn có phạm vi kiến thức khá rộng, nên mình sẽ chỉ tóm tắt và để bạn tự tìm hiểu thêm. 1. Cookie là bộ nhớ chỉ tồn tại ở client-side (tức là chỉ có client lưu lại cookie). Server có thể BẢO client lưu 1 giá trị vào cookie bằng việc trả về cái header 'Set-Cookie' khi client request. Việc lưu cookie gửi từ server và gửi kèm cookie trong các request tiếp theo được browser THỰC HIỆN TỰ ĐỘNG. 2. Các loại bộ nhớ trên là các bộ nhớ của browser, mỗi loại lại có 1 đặc điểm riêng. Bạn hãy xem định nghĩa của chúng để biết thêm chi tiết. Ví dụ Session Storage chỉ lưu data TRONG 1 TAB, tắt tab đó là mất, tạo tab mới thì tạo session storage mới,... Hoặc Local storage là bộ nhớ trên browser được share giữa các tab, không bị expire khi tắt tab,... Do đó lưu ở đâu thì là do bạn quyết định hết (tức là bạn chọn lưu cái gì, lưu ở đâu để đáp ứng nhu cầu). Ví dụ muốn lưu refresh token (là token lưu lâu dài) thì có thể lưu vào localstorage chẳng hạn. Việc lưu này chỉ có mỗi cookie là có thể có sự tham gia của server (qua response header) còn các loại storage khác đều là client tự dùng. 3. Trong 3 thuộc tính httpOnly, SameSite, Secure thì chỉ có httponly là bắt buộc phải set ở backend (vì thuộc tính này chặn code js dưới client access vào cookie này), còn 2 thằng kia có thể set được ở cả 2 nơi 4. Sau khi hiểu được các loại storage trên client thì bạn cũng trả lời dc câu hỏi này, lưu token vào cookie (có thời hạn) hoặc localstorage (không thời hạn),... đều giữ được phiên đăng nhập của user nếu tắt tab 5. Chỉ có duy nhất 1 nơi browser tự động gửi data kèm request là cookie. Nếu bạn set data vô cookie thì là tự động gửi, còn nếu dùng các loại storage khác thì bạn phải chủ động gửi kèm request thông qua header, query, body,... 6. Refresh token sinh ra để giải quyết vấn đề duy trì đăng nhập cho những loại access token ngắn hạn. Nếu access token của bạn dài hạn (mà không nên thế) thì không cần có refresh token lắm. Còn nếu ngắn hạn thì client phải lưu lại refresh token để lấy được access token mới khi hết hạn Bạn có thể tham khảo series này của mình về authentication để hiểu rõ hơn bản chất của việc đăng nhập với http: https://viblo.asia/s/authentication-story-jy5VB29V5ra