<aside> ©️ IT: Từ A tới Á cho người ngoài ngành by @Rose Trinh

</aside>

Khi làm việc với network hay resource, một trong những điều không thể tránh được đó là mở quyền cho tất cả hay la giới hạn quyền truy cập lại.

Ví dụ như trong các bài viết trước có đề cập một số cơ chế như:

Lỗi CORS là gì?

CORS: Cơ chế cho phép bạn kiểm soát nguồn nào được phép truy cập API của bạn từ trình duyệt, hạn chế những yêu cầu không mong muốn từ các domain không được cấp quyền.

Computer Network: LAN, WAN, IP, Firewall, DMZ

Firewall: Đóng vai trò giới hạn quyền truy cập vào hệ thống hoặc mạng lưới, chỉ cho phép các kết nối từ các IP, cổng, hoặc dịch vụ đã được cho phép.

Quá trình hạn chế quyền thường xoay quanh ba phương pháp chính:

https://www.youtube.com/watch?app=desktop&v=C-zdSiFWack

Whitelist (VIP LIST)

• Khái niệm: Chỉ cho phép những nguồn (domain, IP, ứng dụng, v.v.) nằm trong danh sách này truy cập vào tài nguyên của bạn.
• Ưu điểm: Đảm bảo bảo mật tốt vì chỉ những đối tượng được tin cậy mới có quyền truy cập.
• Nhược điểm: Khó quản lý nếu có nhiều nguồn cần cấp quyền, đòi hỏi cập nhật liên tục khi có thêm đối tượng mới.
• Ví dụ: Trong CORS, mặc định là API sẽ không enable CORS, và chỉ cho SAME-ORIGIN gọi, nhưng nếu có nhu cầu thì có thể enable CORS lên. Ở đây cũng có 2 cách: Access-Control-Allow-Origin: *: cho phép tất cả các nguồn đều có thể truy cập tài nguyên, nhưng điều này ít an toàn hơn. Cách phổ biến hơn là định danh các origin có quyền gọi (tức whitelist origins), ví dụ như Access-Control-Allow-Origin: <https://www.example.com>: chỉ các yêu cầu từ trang https://www.example.com mới được phép truy cập tài nguyên.

Blacklist (NO ENTRY LIST)

• Khái niệm: Chặn những nguồn cụ thể trong danh sách này, tất cả các nguồn khác ngoài danh sách vẫn có thể truy cập.
• Ưu điểm: Dễ áp dụng khi chỉ có một số ít đối tượng cần bị chặn.
• Nhược điểm: Không bảo mật bằng whitelist vì nếu đối tượng nguy hiểm không nằm trong blacklist, nó vẫn có thể truy cập.