Authentication methods
Method🔧
ต้องขอเกริ่นก่อนว่า การยืนยันตัวตน (Authentication) มันมีหลายวิธี โดย JWT ก็เป็นหนึ่งในวิธียืนยันตัวตนเเบบ Token based authentication
ในที่นี้จะขอยกตัวอย่าง 3 วิธีที่เราน่าจะคุ้นชินกัน
1. Password-based authentication
วิธีนี้เป็นวิธีที่ทั่วไปเเละใช้งานง่าย โดยหลักการทำงานของมันก็ง่ายๆ เริ่มจากการที่ผู้ใช้งานส่ง password ไปที่ server เพื่อทำการยืนยันตัวตน
ถ้า password ถูกต้อง ผู้ใช้งานก็จะได้รับการยืนยันตัวตนเเละมีสิทธิ์ในการเข้าถึง resource ในเว็บไซต์นั้นๆ
เเต่ถ้า password ผิด ทาง server ก็จะตอบกลับมาว่า wrong credentials (invalid username/password)
2. Multi-Factor authentication
วิธีนี้ก็จะเป็นวิธีที่มีความปลอดภัยมากขึ้นเมื่อเทียบกับ password based เพราะมันจะมีการเข้ารหัสมากกว่า 1 ครั้ง พูดง่ายๆเวลาเราใส่ password อะไรเรียนร้อยเเล้ว มันจะใช้วิธีบางอย่าง เพื่อยืนยันตัวตนของเราอีกครั้ง ยกตัวอย่างเช่น
- การส่ง pin มาที่เบอร์โทรศัพท์เรา
- การเเสกนลายนิ้วมือ
- การส่ง verification code มาที่เมลของเรา
3. Token-based authentication
เป็นวิธีการยืนยันตัวตนที่ใช้สิ่งที่เรียกว่า token พูดเเบบง่ายๆให้ลองนึกถึง passport ดูครับ ก่อนเราจะสมัครก็จะต้องมีการกรอกข้อมูลส่วนตัวของผู้ใช้งานเเล้วทางระบบก็จะทำการ generate passport มาให้ เวลาจะเข้า-ออกนอกประเทศ เราก็ต้องยื่น passport ให้ตรวจสอบความถูกต้องอีกทีเช่นเดียวกันกับ token
สถานการณ์จำลอง
- นาย A ได้ทำการ login โดยใช้ username & password
- Server ได้ทำ verify ข้อมูลว่าถูกต้องตามที่อยู่ใน Database เเล้วจึงทำการ generate ตัว token ขึ้นมา
- Server ได้ทำการเก็บ token ในนั้นไว้ใน session เเล้วส่งมาทาง client
- เมื่อนาย A ต้องการที่จะใช้หรือเข้าถึง resource บางอย่างบนเว็บไซต์ที่จำเป็นต้องมีการยืนยันตัวตน ก็จะทำการส่ง request พร้อมเเนบเจ้าตัว token นี่เเหละ ไปยืนยันที่ Server
- เมื่อ Server ได้ทำการตรวจสอบเรียบร้อยเเล้วว่า token ของนาย A มีข้อมูลตรงกับใน Database เเละยังไม่หมดอายุ ตัว Server ก็จะส่งมอบ resource ที่นาย A ต้องการเข้าถึงไปยัง client
สรุป
วิธีในการทำ authentication มีอยู่หลายวิธี ซึ่งตัวเอกในบทนี้ก็คือ token-based ชนิดหนึ่งที่ชื่อว่า Json Web Token (JWT) ที่จะทำ encode ข้อมูลเเบบเฉพาะตัวเเละเก็บข้อมูลผู้ใช้ไว้ที่ตัวมันเพื่อเป็นบัตรผ่านทางในการร้องขอการเข้าถึงทรัพยากรภายในเว็บไซต์นั้นๆได้นั่นเอง โดยในบทต่อไปจะเป็นพูดถึง jwt ในมุมมองที่ลึกขึ้นเเละส่วนประกอบข้างในของตัวมัน ถ้าพร้อมเเล้วก็ไปกันเลย!