ข้อแนะนำในการตรวจสอบสิทธิ์การเข้าถึงข้อมูล

การใช้ Token ในการตรวจสอบสิทธิ์ผู้ใช้บริการ ผู้ให้บริการจะต้องทำการตรวจสอบข้อมูลคำร้องจากผู้ขอใช้บริการ โดยพิจารณาข้อมูลจาก Token ซึ่งจะมาในส่วนของ Authorization header ภายใต้ฟิวด์ที่ชื่อ Bearer ดังตัวอย่าง Authorization: Bearer

การประยุกต์ใช้ร่วมกับ JWT (JASON Web Token) สำหรับผู้ให้บริการข้อมูล ข้อมูลผลลัพธ์หรือข้อมูลที่จะทำการแลกเปลี่ยน จะต้องถูกแปลงให้อยู่ในรูปแบบของ JWT ข้อมูลที่ได้จะเรียกว่า Token หรือกล่าวได้ว่าเป็น Token แบบพิเศษที่มีข้อมูลที่ใช้แลกเปลี่ยนรวมถึงข้อมูลประกอบ เพื่อยืนยันตัวตนและใช้ตรวจสอบความถูกต้องรวมไว้ด้วยกัน ดังตัวอย่างของการนำใช้ร่วมกับ JWT แบ่งตามรูปแบบการใช้งานได้ดังนี้

กรณีการใช้งานเป็น API Key ทั้งที่เป็นแบบ Static API Key และแบบ Dynamic API Key ข้อมูลทั้งหมดที่จะถูกส่งออกไป สามารถที่จะทำ Digital Signed เพื่อใช้สำหรับการการยืนยันตัวตนและสามารถใช้ตรวจสอบความถูกต้องข้อมูลได้ โดยผ่านกระบวนการ HMAC SHA256 algorithm
กรณีการใช้งานคีย์คู่ (Public Key/Private Key) การสร้าง Digital Signature ใช้สำหรับการการยืนยันตัวตนและสามารถใช้ตรวจสอบความถูกต้องข้อมูล สามารถที่จะใช้ RSA หรือ ECDSA
กรณีที่ใช้งาน Authentication Server การใช้งานร่วมกับ JWT จะมีความคล้ายกันกับรูปแบบของ API Key คือ นำ Token ที่ได้จาก Authentication Server มาทำการสร้าง Digital Signed ใช้สำหรับการการยืนยันตัวตนและสามารถใช้ตรวจสอบความถูกต้องข้อมูล โดยผ่านกระบวนการ HMAC SHA256 algorithm

Was this article helpful to you?