This is the Trace Id: 585d938fa156f11cef7987ffeba7e5c1
Bỏ qua để tới nội dung chính Tại sao nên chọn Microsoft Security An ninh mạng hoạt động trên nền tảng AI Bảo mật đám mây Bảo mật và Quản trị dữ liệu Danh tính và quyền truy nhập mạng Quản lý quyền riêng tư và rủi ro Bảo mật dành cho AI Hoạt động bảo mật hợp nhất Zero Trust Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra ID (Azure Active Directory) ID trợ lý ảo Microsoft Entra Danh tính bên ngoài Microsoft Entra Quản trị Microsoft Entra ID Bảo vệ Microsoft Entra ID Microsoft Entra Truy cập Internet Microsoft Entra Truy cập Riêng tư Giải pháp Quản lý quyền của Microsoft Entra ID xác minh của Microsoft Entra Microsoft Entra Workload ID Dịch vụ Miền Microsoft Entra Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender cho Điểm cuối Microsoft Defender cho Office 365 Microsoft Defender cho Danh tính Microsoft Defender for Cloud Apps Quản lý mức rủi ro của Microsoft Security Quản lý lỗ hổng bảo mật dành cho Microsoft Defender Thông tin về mối đe doạ của Microsoft Defender Microsoft Defender Suite for Business Premium Microsoft Defender for Cloud Quản lý vị thế bảo mật đám mây của Microsoft Defender Quản lý bề mặt tấn công từ bên ngoài dành cho Microsoft Defender Bảo mật nâng cao GitHub Microsoft Defender cho Điểm cuối Microsoft Defender XDR Microsoft Defender cho Doanh nghiệp Chức năng cốt lõi của Microsoft Intune Microsoft Defender for IoT Quản lý lỗ hổng bảo mật dành cho Microsoft Defender Phân tích dữ liệu nâng cao Microsoft Intune Microsoft Intune Quản lý đặc quyền thiết bị đầu cuối Quản lý ứng dụng doanh nghiệp Microsoft Intune Tính năng trợ giúp từ xa của Microsoft Intune Microsoft Cloud PKI Tuân thủ về Giao tiếp của Microsoft Purview Trình quản lý Tuân thủ của Microsoft Purview Giải pháp Quản lý vòng đời dữ liệu của Microsoft Purview Microsoft Purview eDiscovery Microsoft Purview Audit Quản lý rủi ro của Microsoft Priva Microsoft Priva - Yêu cầu quyền chủ thể Quản trị dữ liệu Microsoft Purview Microsoft Purview Suite for Business Premium Các tính năng bảo mật dữ liệu của Microsoft Purview Giá cả Dịch vụ Đối tác Nhận thức an ninh mạng Câu chuyện khách hàng Bảo mật 101 Bản dùng thử sản phẩm Sự công nhận trong ngành Microsoft Security Insider Báo cáo phòng vệ kỹ thuật số của Microsoft Trung tâm Ứng phó Bảo mật Blog Microsoft Security Các sự kiện Microsoft Security Microsoft Tech Community Tài liệu Thư viện nội dung kỹ thuật Đào tạo & chứng nhận Chương trình tuân thủ dành cho Microsoft Cloud Trung tâm Tin cậy Microsoft Service Trust Portal Microsoft Sáng kiến tương lai an toàn Trung tâm giải pháp kinh doanh Bắt đầu bản dùng thử Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Không gian Azure Thực tế hỗn hợp Microsoft HoloLens Microsoft Viva Điện toán lượng tử Tính bền vững Giáo dục Ô tô Dịch vụ tài chính Chính phủ Chăm sóc sức khỏe Sản xuất Bán lẻ Tìm đối tác Trở thành đối tác Mạng lưới Đối tác Microsoft Marketplace Marketplace Rewards Các công ty phát triển phần mềm Blog Microsoft Advertising Trung tâm nhà phát triển Hướng dẫn sử dụng Sự kiện Cấp phép Microsoft Learn Microsoft Research Xem sơ đồ trang

OAuth là gì?

Tìm hiểu khái niệm của OAuth và cách sử dụng OAuth để cấp quyền truy nhập giữa các ứng dụng và dịch vụ mà không ảnh hưởng đến thông tin nhạy cảm.

Giải thích về OAuth

OAuth là một tiêu chuẩn công nghệ cho phép bạn cấp quyền để ứng dụng hoặc dịch vụ đăng nhập vào một ứng dụng hoặc dịch vụ khác mà không tiết lộ thông tin riêng tư, như mật khẩu. Nếu bạn đã từng nhận được một tin nhắn, kiểu như “Đăng nhập bằng Facebook?” hoặc "Cho phép ứng dụng này truy nhập vào tài khoản của bạn?", tức là bạn đã thấy OAuth hoạt động rồi đó.

OAuth là từ viết tắt của Open Authorization chứ không phải xác thực, như đôi khi được giả định. Xác thực là quy trình xác minh danh tính của bạn. OAuth có liên quan đến danh tính nhưng mục đích của OAuth là cấp quyền kết nối liền mạch với bạn bằng các ứng dụng và dịch vụ khác nhau mà không cần bạn tạo tài khoản mới. OAuth mang lại trải nghiệm đơn giản nhờ việc cung cấp cho bạn tùy chọn cho phép hai ứng dụng chia sẻ một số dữ liệu của bạn mà không tiết lộ thông tin xác thực. Giao thức này tạo sự cân bằng giữa thuận tiện và bảo mật.

OAuth được thiết kế để hoạt động với Giao thức Truyền Siêu văn bản (HTTP). Giao thức sử dụng mã thông báo truy nhập để chứng minh danh tính và cho phép danh tính đó tương tác với một dịch vụ khác thay mặt bạn. Trong trường hợp dịch vụ thứ hai này bị rò rỉ dữ liệu, thông tin xác thực trên dịch vụ đầu tiên sẽ vẫn an toàn. OAuth là giao thức tiêu chuẩn mở được áp dụng rộng rãi, hầu hết các nhà phát triển trang web và ứng dụng đều sử dụng giao thức này.

Quan trọng là OAuth không cấp quyền truy nhập không giới hạn vào dữ liệu của bạn cho ứng dụng hoặc dịch vụ bên thứ ba. Một chức năng của giao thức là chỉ định dữ liệu nào mà bên thứ ba được phép truy nhập và những gì bên này có thể làm với dữ liệu đó. Việc đặt ra những hạn chế như vậy và bảo vệ danh tính nói chung là đặc biệt quan trọng trong các tình huống kinh doanh mà nhiều người có quyền truy nhập vào vô số thông tin nhạy cảm và độc quyền.


 

OAuth hoạt động như thế nào?

Mã thông báo truy nhập là yếu tố khiến OAuth an toàn. Mã thông báo truy nhập là một phần dữ liệu chứa thông tin về người dùng cùng tài nguyên mà mã thông báo chứa đựng. Mã thông báo cũng sẽ chứa quy tắc cụ thể về việc chia sẻ dữ liệu.

Ví dụ: bạn có thể muốn chia sẻ ảnh từ hồ sơ mạng xã hội của mình bằng ứng dụng chỉnh sửa ảnh, nhưng bạn chỉ muốn ứng dụng có quyền truy nhập vào một số ảnh. Ứng dụng đó cũng không cần truy nhập vào tin nhắn trực tiếp hoặc danh sách bạn bè. Mã thông báo chỉ cho phép truy nhập vào dữ liệu bạn chấp thuận. Cũng có thể còn các quy tắc chi phối thời điểm ứng dụng có thể sử dụng mã thông báo đó – có thể là cho một lần sử dụng hoặc sử dụng định kỳ – và ngày hết hạn mã thông báo.

Quy trình OAuth chủ yếu là tương tác giữa máy với máy, trong đó chỉ có một vài điểm tiếp xúc từ phía người dùng. Trong một số trường hợp, bạn có thể không cần phê duyệt vì phần mềm đang xử lý ngầm trong nền. Hai ví dụ về tính năng OAuth trong trường hợp này sẽ thuộc kịch bản hoạt động của doanh nghiệp, trong đó nền tảng danh tính xử lý những kết nối giữa các tài nguyên để giảm bớt trở ngại về mặt CNTT cho một số lượng lớn người dùng hoặc tương tác giữa một số thiết bị thông minh.


 

Ví dụ về công nghệ OAuth

Giống như nhiều công nghệ đơn giản hóa công việc tẻ nhạt nào đó – trong trường hợp này là việc tạo tài khoản theo cách thủ công trong nhiều ứng dụng – OAuth gần như được các nhà phát triển ứng dụng áp dụng rộng rãi. Sản phẩm này có rất nhiều trường hợp sử dụng dành cho mọi người và doanh nghiệp.

Một ví dụ về OAuth: giả sử bạn đang sử dụng Microsoft Teams làm công cụ cộng tác và muốn truy nhập thêm thông tin về những người bạn đang làm việc cùng, cả bên trong và bên ngoài tổ chức. Bạn quyết định bật phần tích hợp LinkedIn để có thể tìm hiểu thêm về mọi người khi bạn tương tác với họ mà không cần rời khỏi Teams. Sau đó, Microsoft và LinkedIn sẽ sử dụng OAuth để cho phép liên kết tài khoản của bạn với danh tính Microsoft của bạn.

Một tình huống khác cần sử dụng OAuth là khi bạn tải xuống một ứng dụng lập ngân sách để giúp theo dõi chi tiêu của mình bằng các cảnh báo và công cụ hỗ trợ trực quan, chẳng hạn như đồ thị. Để thực hiện công việc, ứng dụng cần truy nhập vào một số dữ liệu ngân hàng. Bạn có thể khởi tạo yêu cầu liên kết tài khoản ngân hàng với ứng dụng, chỉ cho phép quyền truy nhập vào số dư tài khoản và giao dịch. Ứng dụng và ngân hàng sẽ sử dụng OAuth thực hiện việc trao đổi thông tin này thay mặt bạn mà không tiết lộ thông tin xác thực đăng nhập ngân hàng cho ứng dụng.

Một ví dụ khác về OAuth là nếu bạn là nhà phát triển sử dụng GitHub và bạn biết rằng có một ứng dụng của bên thứ ba có thể tích hợp với tài khoản để thực hiện đánh giá mã tự động. Bạn truy cập GitHub Marketplace và tải xuống ứng dụng. Khi đó, ứng dụng đánh giá sẽ yêu cầu bạn cho phép kết nối với ứng dụng qua danh tính GitHub của bạn, một quy trình sẽ được xử lý bằng OAuth. Sau đó, ứng dụng đánh giá có thể truy nhập mã của bạn mà không cần phải đăng nhập vào cả hai dịch vụ mỗi lần.

Có gì khác biệt giữa OAuth 1.0 và OAuth 2.0?

OAuth 1.0 gốc chỉ được phát triển cho các website. Ngày nay, phiên bản này không được sử dụng rộng rãi vì OAuth 2.0 được thiết kế cho cả ứng dụng và trang web, cộng với việc phiên bản 2.0 nhanh và dễ triển khai hơn. OAuth 1.0 không điều chỉnh quy mô như OAuth 2.0 và chỉ có thể thực hiện ba quy trình cấp quyền so với sáu quy trình ở OAuth 2.0.

Nếu bạn định sử dụng OAuth, tốt nhất bạn nên sử dụng phiên bản 2.0 từ đầu. Rất tiếc là không thể nâng cấp OAuth 1.0 lên OAuth 2.0. OAuth 2.0 được thiết kế lại triệt để so với OAuth 1.0 và một số công ty công nghệ lớn đã đóng góp ý kiến phản hồi về thiết kế của OAuth 2.0. Một website có thể hỗ trợ cả OAuth 1.0 và OAuth 2.0 nhưng những người tạo ra phiên bản 2.0 đã thay thế hoàn toàn 1.0.

OAuth so với OIDC

OAuth và Open ID Connect (OIDC) là các giao thức có liên quan chặt chẽ. Các giao thức này tương tự nhau ở chỗ cả hai đều có vai trò trong việc thay mặt người dùng cung cấp cho một ứng dụng quyền truy nhập vào tài nguyên của một ứng dụng khác. Điểm khác biệt là trong khi OAuth được sử dụng để cho phép truy nhập tài nguyên, OIDC được sử dụng để xác thực danh tính của một người. Cả hai đều có vai trò trong việc cho phép hai ứng dụng không liên quan chia sẻ thông tin mà không làm ảnh hưởng đến dữ liệu người dùng.

IdP thường sử dụng kết hợp OAuth 2.0 và OIDC. Chức năng cụ thể của OIDC là tăng cường khả năng của OAuth 2.0 bằng cách thêm một lớp danh tính vào giao thức này. Vì được xây dựng trên OAuth 2.0 nên OIDC không tương thích ngược với OAuth 1.0.

 

Bắt đầu với OAuth

Việc bạn triển khai OAuth 2.0 cho các website và ứng dụng có thể cải thiện đáng kể trải nghiệm cho người dùng hoặc nhân viên khi đơn giản hóa quy trình xác thực danh tính. Để bắt đầu, hãy đầu tư vào giải pháp IdP như Microsoft Entra để bảo vệ người dùng và dữ liệu bằng tính năng bảo mật tích hợp sẵn

Microsoft Entra ID (trước đây là Azure Active Directory) hỗ trợ mọi quy trình OAuth 2.0. Các nhà phát triển ứng dụng có thể sử dụng ID làm nhà cung cấp xác thực dựa trên tiêu chuẩn để giúp họ tích hợp các chức năng danh tính hiện đại, có quy mô doanh nghiệp vào ứng dụng. Người quản trị CNTT có thể sử dụng dịch vụ này để kiểm soát quyền truy nhập.

Tìm hiểu thêm về Microsoft Security

  • Khám phá Microsoft Entra

    Bảo vệ danh tính và bảo mật quyền truy nhập trên đám mây qua một nhóm giải pháp tổng thể.

    Tìm hiểu thêm

  • Microsoft Entra ID (trước đây là Azure Active Directory)

    Bảo vệ quyền truy nhập vào tài nguyên và dữ liệu bằng cách sử dụng tính năng xác thực mạnh mẽ và truy nhập thích ứng dựa trên rủi ro.

    Tìm hiểu thêm

  • Xây dựng sự tin cậy cho ứng dụng của bạn

    Triển khai SSO để nhân viên có thể truy nhập mọi tài nguyên họ cần qua một thông tin xác thực.

    Tìm hiểu thêm

  • Trải nghiệm đăng nhập được hợp lý hóa

    Triển khai SSO để nhân viên có thể truy nhập mọi tài nguyên họ cần qua một thông tin xác thực.

    Tìm hiểu thêm

  • Bảo vệ trước các cuộc tấn công

    Sử dụng tính năng xác thực đa yếu tố để cải thiện khả năng bảo vệ cho tài nguyên của tổ chức bạn.

    Tìm hiểu thêm

  • Sử dụng OAuth để đơn giản hóa quyền truy nhập vào dữ liệu email

    Tìm hiểu cách xác thực kết nối với ứng dụng bằng cách sử dụng giao thức thừa tự.

    Đọc thêm

 

 

Câu hỏi thường gặp

  • OAuth có nghĩa là Open Authorization, là một tiêu chuẩn công nghệ cho phép bạn cấp quyền cho một ứng dụng hoặc dịch vụ đăng nhập vào một ứng dụng hoặc dịch vụ khác mà không tiết lộ thông tin riêng tư, chẳng hạn như mật khẩu. Khi một ứng dụng yêu cầu bạn cho phép xem thông tin hồ sơ, ứng dụng đó sử dụng OAuth.

  • OAuth hoạt động bằng cách trao đổi mã thông báo truy nhập – một phần dữ liệu chứa thông tin về người dùng cùng tài nguyên mà mã thông báo chứa đựng. Một ứng dụng hoặc website trao đổi thông tin được mã hóa với một ứng dụng hoặc website khác về người dùng và bao gồm các quy tắc cụ thể để chia sẻ dữ liệu. Cũng có thể có các quy tắc chi phối thời điểm ứng dụng có thể sử dụng mã thông báo đó và ngày hết hạn mã thông báo. Quy trình OAuth chủ yếu là tương tác giữa máy và máy với chỉ một vài điểm tiếp xúc cho người dùng, nếu có

  • Nhiều công ty sử dụng OAuth để đơn giản hóa việc truy nhập vào các ứng dụng và website của bên thứ ba mà không tiết lộ mật khẩu của người dùng hoặc dữ liệu nhạy cảm. Google, Amazon, Microsoft, Facebook và Twitter đều sử dụng giao thức này để chia sẻ thông tin về tài khoản cho nhiều mục đích khác nhau, bao gồm đơn giản hóa trải nghiệm mua hàng. Nền tảng định danh Microsoft sử dụng OAuth để cấp quyền cho tài khoản cơ quan và trường học, tài khoản cá nhân, tài khoản xã hội và tài khoản chơi trò chơi.

  • OAuth và Open ID Connect (OIDC) là các giao thức có liên quan chặt chẽ. Các giao thức này tương tự nhau ở chỗ cả hai đều có vai trò trong việc thay mặt người dùng cung cấp cho một ứng dụng quyền truy nhập vào tài nguyên của một ứng dụng khác. Tuy nhiên, điểm khác biệt là trong khi OAuth được sử dụng để cho phép truy nhập tài nguyên, OIDC được sử dụng để xác thực danh tính của một người. Cả hai đều có vai trò trong việc cho phép hai ứng dụng không liên quan chia sẻ thông tin mà không làm ảnh hưởng đến dữ liệu người dùng.

  • Có nhiều khác biệt giữa OAuth 1.0 và OAuth 2.0 vì OAuth 2.0 được thiết kế lại triệt để so với OAuth 1.0, khiến OAuth 1.0 gần như lỗi thời. OAuth 1.0 chỉ được phát triển cho các website, trong khi OAuth 2.0 được thiết kế cho cả ứng dụng và website. OAuth 2.0 nhanh và dễ triển khai hơn, có thể điều chỉnh quy mô và có thể thực hiện sáu quy trình cấp quyền so với ba quy trình của OAuth 1.0.

Theo dõi Microsoft 365

Copilot cho các tổ chức Copilot cho mục đích sử dụng cá nhân Microsoft 365 Khám phá các sản phẩm Microsoft Microsoft 365 Family Microsoft 365 Personal Ứng dụng cho Windows 11 Hồ sơ tài khoản Trung tâm Tải xuống Trả lại Theo dõi đơn hàng Microsoft trong ngành giáo dục Thiết bị cho ngành giáo dục Microsoft Teams dành cho Giáo dục Microsoft 365 Education Office trong ngành giáo dục Đào tạo và phát triển giảng viên Ưu đãi dành cho sinh viên và phụ huynh Azure dành cho sinh viên
Microsoft AI Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Nhà phát triển Microsoft Microsoft Learn Hỗ trợ cho các ứng dụng trên chợ điện tử AI Cộng đồng Microsoft Tech Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Sự nghiệp Giới thiệu về Microsoft Tin tức công ty Quyền riêng tư ở Microsoft Nhà đầu tư Tính bền vững
Tiếng Việt (Việt Nam)
Biểu tượng Chọn không tham gia lựa chọn quyền riêng tư của bạn Các lựa chọn về quyền riêng tư của bạn
Quyền riêng tư về Sức khỏe người tiêu dùng Liên hệ với Microsoft Quyền riêng tư Quản lý cookie Điều khoản sử dụng Nhãn hiệu Giới thiệu về quảng cáo của chúng tôi