Xin chào mọi người <p> </p> <p> Em đang làm ứng dụng React JS (FE) + SpringBoot (BE).Em đã áp dụng JWT cho đăng nhập bằng account của hệ thống còn đối với chức năng đăng nhập bằng các <strong>mạng xã hội</strong> (<em>mxh</em>) như <em><strong>Google,Facebook,...</strong></em> mỗi account login bằng mxh thì  em cũng lưu xuống DB kèm theo provider của mxh đó và coi như 1 account bình thường của hệ thống. </p> <ol> <li> <ol> <li>Cả ReactJS và SpringBoot đều hỗ trợ đăng nhập bằng mxh.Theo mọi người thì  em nên dùng cách nào thì ổn hơn cho hệ thống phân tán như thế này ạ? Ở các hệ thống Microservice thì đăng nhập bằng mxh thì người ta thường triển khai theo cách như thế nào vậy ạ? (login ở BE Springboot thì em dùng <em><strong>spring-boot-starter-oauth2-client</strong> )</em></li> <li>Trong quá trình em tìm hiểu thì em có thấy thêm 1 cái gọi là <strong>Oauth2</strong>.Cho em hỏi trong 1 hệ thống phân tán <em>Microservice</em> thì <strong>JWT</strong> và <strong>Oauth2</strong> có liên quan đến nhau ko ? Cho em xin cách giải thích chi tiết hơn về 2 cái <strong>JWT</strong> và <strong>Oauth2 </strong>để em hiểu thêm về các cơ chế xác thực trong các hệ thống phân tán phức tạp ạ. (lí do em hỏi câu này tại vì em  thấy OAuth2 và JWT không liên quan đến nhau cho lắm. OAuth2 có thể dùng hoặc không dùng JWT. JWT có thể được dùng một mình nó chả liên quan đến OAuth2)</li> </ol> </li> </ol> <p> Rất cảm ơn anh Dũng và mọi người đã trời câu hỏi của em ạ. </p>

Xin chào mọi người, theo em được biết thì với các Monolithic application thì thường dùng Session(Cookie) để xác thực. <p> </p> <p> Em có 2 câu hỏi muốn hỏi là : </p> <ol> <li>Đối với combo các ứng dụng <em><strong>SPA + App mobile </strong></em> dùng chung 1 Backend <em>(Microservice)</em> thì tại sao ở phần xác thực các ứng dụng thường dùng JWT thay vì dùng Session(Cookie) vậy ạ ? Ưu/Nhược điểm giữa chúng là gì ạ ?</li> <li>Trên thực tế thì có thể dùng Session(Cookie)  cho chức năng xác thực hay bất cứ chức năng nào cho hệ thống Microservice được không ạ?</li> <li>Có phải Session(Cookie) chỉ nên được sử dụng cho <strong>Monolithic application </strong>không ạ ? (lý do em hỏi câu này là do các ứng dụng Microservice thì thường deploy trên nhiều instance thay vì 1 instance như Monolithic application mà Session thì lưu trên memory server nên em đoán sẽ không ổn cho lắm đúng ko ạ ? )</li> </ol>

Hi các anh trong group,Hiện tại em đang làm 1 dự án có sử dụng jwt để authen request, xếp em bảo là vẫn phải mã hóa request và response vì sợ tấn công man of middle  trong khi em thấy là em thấy sử dụng https rồi thì cũng tránh được man of middle chứ nhỉ? <p> Tóm lại là muốn hỏi là Trên thực tế khi sử dụng jwt có cần phải mã hóa request và response trả về nữa không ? và chi tiết về lí do là vì sao ạ? </p>

Chào mn, project e đang dùng jwt, cho e hỏi có cách nào can thiệp tới token (vd: set lại thời gian hoặc hủy lun cái token đó) mà ko cần phải check từng request ở middleware ko ạ (e thấy một số nơi ngta có làm cái blacklist token để check)?