ໂທເຄັນ OIDC (OIDC Token)
OIDC token ແມ່ນຊື່ເອີ້ນລວມຂອງ ID token, access token, ແລະ refresh token ທີ່ອອກໃຫ້ພາຍໃຕ້ OpenID Connect protocol, ເຊິ່ງເປັນຂໍ້ມູນທີ່ມີລາຍເຊັນສຳລັບການແລກປ່ຽນຂໍ້ມູນການພິສູດຕົວຕົນ (authentication) ແລະການອະນຸຍາດ (authorization) ຂອງຜູ້ໃຊ້ຢ່າງປອດໄພ.
OpenID Connect(OIDC)ແມ່ນຂໍ້ກຳນົດທີ່ເພີ່ມຊັ້ນການພິສູດຕົວຕົນ "ຄົນນີ້ແມ່ນໃຜ" ໄວ້ເທິງ OAuth 2.0. OAuth 2.0 ຢ່າງດຽວນັ້ນຈັດການໄດ້ພຽງແຕ່ການອະນຸຍາດ (authorization) ວ່າ "ສາມາດອະນຸຍາດໃຫ້ຜູ້ຖືໂທເຄັນນີ້ເຂົ້າເຖິງຊັບພະຍາກອນໄດ້" ເທົ່ານັ້ນ, ແລະ ບໍ່ມີວິທີມາດຕະຖານສຳລັບຝ່າຍແອັບພລິເຄຊັນໃນການຮູ້ວ່າຜູ້ໃຊ້ທີ່ລ໋ອກອິນເຂົ້າມານັ້ນແມ່ນໃຜ. OIDC ຕື່ມຊ່ອງຫວ່າງດັ່ງກ່າວດ້ວຍໂທເຄັນ 3 ປະເພດ. ### ບົດບາດຂອງໂທເຄັນທັງ 3 **ID ໂທເຄັນ** ແມ່ນຫົວໃຈຫຼັກຂອງ OIDC. ມັນຖືກອອກໃຫ້ໃນຮູບແບບ JWT(JSON Web Token), ແລະ payload ປະກອບດ້ວຍ claim ຕ່າງໆ ເຊັ່ນ: ຕົວລະບຸຜູ້ໃຊ້ (`sub`), ຜູ້ອອກໂທເຄັນ (`iss`), ວັນໝົດອາຍຸ (`exp`) ແລະ ອື່ນໆ. ການກວດສອບລາຍເຊັນຊ່ວຍໃຫ້ສາມາດຕັດສິນໄດ້ທັນທີວ່າມີການດັດແປງຫຼືບໍ່, ໂດຍບໍ່ຈຳເປັນຕ້ອງສອບຖາມ IdP(Identity Provider). ຄຸນສົມບັດ "ໃບຢັ້ງຢືນຕົວຕົນທີ່ຄົບຖ້ວນໃນຕົວເອງ" ນີ້ ແມ່ນກຸນແຈສຳຄັນໃນການຫຼຸດຕົ້ນທຶນການພິສູດຕົວຕົນລະຫວ່າງ microservice. **Access ໂທເຄັນ** ມາຈາກ OAuth 2.0, ໃຊ້ສະແດງສິດທິ໌ໃນການເຂົ້າເຖິງ API ຫຼື resource server. ຂອບເຂດສິດທິ໌ຖືກຈຳກັດດ້ວຍ scope (ເຊັ່ນ: `openid profile email`) ແລະ ໂດຍທົ່ວໄປວັນໝົດອາຍຸຈະຖືກຕັ້ງໄວ້ສັ້ນ ປະມານສອງສາມນາທີ ຫາ 1 ຊົ່ວໂມງ. **Refresh ໂທເຄັນ** ໃຊ້ສຳລັບຮັບໂທເຄັນຊຸດໃໝ່ໂດຍບໍ່ຕ້ອງໃຫ້ຜູ້ໃຊ້ລ໋ອກອິນໃໝ່ ເມື່ອ access ໂທເຄັນໝົດອາຍຸ. ເນື່ອງຈາກມີອາຍຸການໃຊ້ງານຍາວນານ, ຄວາມສ່ຽງຕໍ່ການຮົ່ວໄຫຼຈຶ່ງສູງ, ດັ່ງນັ້ນ ການປະຕິບັດທີ່ດີທີ່ສຸດໃນທາງປະຕິບັດຄືການເກັບຮັກສາໄວ້ຝ່າຍ server-side ເທົ່ານັ້ນ ແລະ ເປີດໃຊ້ rotation (ປ່ຽນ refresh ໂທເຄັນໃໝ່ທຸກຄັ້ງທີ່ໃຊ້). ### ພາບລວມຂອງ Flow ໃນ Authorization Code Flow ທົ່ວໄປ, ເມື່ອຜູ້ໃຊ້ລ໋ອກອິນທີ່ IdP, authorization code ຈະຖືກສົ່ງຄືນໃຫ້ client. Client ຈະສົ່ງ code ນີ້ໄປຍັງ token endpoint ຂອງ IdP ແລ້ວຮັບ ID ໂທເຄັນ, access ໂທເຄັນ ແລະ refresh ໂທເຄັນທັງ 3 ຢ່າງພ້ອມກັນ. ເນື່ອງຈາກ authorization code ໃຊ້ໄດ້ພຽງຄັ້ງດຽວ ແລະ ມີໄລຍະເວລາໃຊ້ງານສັ້ນຫຼາຍ, ຈຶ່ງສາມາດຫຼຸດຕົ້ນທຶນຈຳນວນຄັ້ງທີ່ໂທເຄັນຕົວຈິງຖືກສົ່ງຜ່ານເຄືອຂ່າຍໃຫ້ຢູ່ໃນລະດັບຕ່ຳສຸດໄດ້. ### ຂໍ້ຄວນລະວັງໃນການ Implement ສິ່ງທີ່ຜູ້ຂຽນຮູ້ສຶກວ່າມັກຖືກມອງຂ້າມຄືສະຖານທີ່ເກັບຮັກສາໂທເຄັນ. ສຳລັບ SPA(Single Page Application), ບາງຄັ້ງຈະມີການແນະນຳຮູບແບບການເກັບ access ໂທເຄັນໄວ້ໃນ `localStorage` ຂອງ browser, ແຕ່ວ່ານີ້ສາມາດຖືກລັກໄດ້ງ່າຍດ້ວຍການໂຈມຕີ XSS. ການເກັບໄວ້ໃນ HttpOnly Cookie ດ້ວຍ BFF(Backend for Frontend)pattern ຫຼື ການເກັບໄວ້ໃນ session store ຝ່າຍ server-side ນັ້ນມີຄວາມປອດໄພສູງກວ່າ. ຕ້ອງລະວັງໃນການອອກແບບວັນໝົດອາຍຸຂອງໂທເຄັນດ້ວຍ. ຖ້າ `exp` ຂອງ ID ໂທເຄັນຍາວເກີນໄປ, ການປ່ຽນແປງສິດທິ໌ຂອງຜູ້ໃຊ້ ຫຼື ການລະງັບບັນຊີຈະບໍ່ຖືກສະທ້ອນທັນທີ. ຖ້າຕັ້ງສັ້ນເກີນໄປ, ຄວາມຖີ່ໃນການ refresh ຈະເພີ່ມຂຶ້ນ ແລະ ພາລະຂອງ IdP ກໍ່ຈະເພີ່ມຕາມ. IdP ສ່ວນໃຫຍ່ຕັ້ງຄ່າ default ໄວ້ທີ່ ID ໂທເຄັນ 5〜15 ນາທີ, access ໂທເຄັນ 1 ຊົ່ວໂມງ, refresh ໂທເຄັນ 30〜90 ວັນ, ດັ່ງນັ້ນ ການເລີ່ມຕົ້ນດ້ວຍການປັບຈາກຂອບເຂດນີ້ຈຶ່ງເປັນທາງເລືອກທີ່ໃຊ້ໄດ້ຈິງ.
