Tổng quan
1. Khái niệm
API Token Service là một hệ thống hoặc thành phần có chức năng phát hành, xác thực và quản lý access token cho client (người dùng, ứng dụng, hoặc hệ thống khác) để truy cập các API một cách an toàn.
Thay vì gửi thông tin xác thực mỗi lần, client xuất trình một token — credential ngắn hạn — để chứng minh danh tính và quyền truy cập.
2. Chức năng chính
| Chức năng | Mô tả |
|---|---|
| Phát hành Token | Tạo access token (và refresh token nếu có) sau khi xác thực danh tính client hoặc người dùng. |
| Xác thực Token | Kiểm tra token còn hiệu lực, chưa hết hạn và có đủ quyền trước khi cho phép truy cập API. |
| Thu hồi Token | Vô hiệu hóa token thủ công hoặc tự động (ví dụ: khi người dùng đăng xuất hoặc secret bị lộ). |
| Quản lý Scope & Quyền | Xác định token có thể truy cập tài nguyên hoặc API nào. |
| Auditing & Logging | Theo dõi việc sử dụng token, thời hạn, và khả năng lạm dụng để đảm bảo an ninh và tuân thủ. |
3. Lợi ích
✅ Tăng bảo mật API (không cần chia sẻ mật khẩu)
✅ Kiểm soát truy cập chi tiết qua scopes/roles
✅ Hỗ trợ token ngắn hạn (giảm rủi ro bị xâm phạm)
✅ Dễ thu hồi hoặc xoay vòng mà không ảnh hưởng đến người dùng
✅ Có khả năng mở rộng cho môi trường đa client hoặc microservice