Xác thực Archives

Củng cố bảo mật JWT: Bài học thực tế từ 6 tháng vận hành hệ thống API

Tháng 5 2, 2026

Những bài học thực tế về bảo mật JWT sau 6 tháng vận hành. Tìm hiểu lý do nên chuyển sang RS256, cách xử lý thu hồi token bằng Redis và ngăn chặn tấn công thuật toán 'none'.

Security

Bảo mật OAuth 2.0 và OpenID Connect: Các Lỗ Hổng Phổ Biến và Cách Triển Khai Đúng

Tháng 4 28, 2026

OAuth 2.0 và OpenID Connect là nền tảng của xác thực hiện đại, nhưng cấu hình sai rất phổ biến và tốn kém. Hướng dẫn này đề cập đến các lỗ hổng thường gặp nhất — thiếu tham số state, open redirect, xác thực token không đúng — và hướng dẫn bạn cách triển khai từng bước đúng cách với ví dụ Python thực tế.

Security

Deploy Keycloak trên Docker: Xây dựng hệ thống IAM và SSO tập trung cho ứng dụng của bạn

Tháng 4 9, 2026

Để mỗi ứng dụng tự xử lý logic xác thực tạo ra lỗ hổng bảo mật, code trùng lặp và trải nghiệm người dùng tệ. Hướng dẫn này trình bày cách deploy Keycloak trên Docker với PostgreSQL để xây dựng hệ thống IAM và SSO tập trung — một lần đăng nhập, chính sách bảo mật nhất quán và MFA trên toàn bộ ứng dụng.

Security

OWASP Top 10: Hiểu và Ngăn chặn các Lỗ hổng Web Phổ biến

Tháng 3 10, 2026

Đi sâu vào OWASP Top 10, hướng dẫn quan trọng của bạn để hiểu và ngăn chặn các lỗ hổng web phổ biến. Bài viết này cung cấp phân tích thân thiện với người mới bắt đầu về các rủi ro bảo mật quan trọng như Injection và Broken Access Control, hoàn chỉnh với các ví dụ thực tế để giúp các nhà phát triển trẻ xây dựng ứng dụng an toàn.