TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Xác thực thẩm định hệ thống đăng nhập lần Vũ Tuấn Anh Vta2712@gmail.com Ngành: Công nghệ thông tin Giảng viên hướng dẫn: PGS TS Nguyễn Linh Giang Viện: Công nghệ thông tin truyền thông HÀ NỘI, 2020 TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Xác thực thẩm định hệ thống đăng nhập lần Vũ Tuấn Anh Vta2712@gmail.com Ngành: Công nghệ thông tin Giảng viên hướng dẫn: PGS TS Nguyễn Linh Giang Chữ ký GVHD Viện: Công nghệ thông tin truyền thông Hà Nội, 2020 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn: Vũ Tuấn Anh Đề tài luận văn: Xác thực thẩm định hệ thống đăng nhập lần Chuyên ngành: Công nghệ thông tin Mã số SV: CA180130 Tác giả, Người hướng dẫn khoa học Hội đồng chấm luận văn xác nhận tác giả sửa chữa, bổ sung luận văn theo biên họp Hội đồng ngày 27/06/2020 với nội dung sau: Nội dung chỉnh sửa STT Mục lục Trang 3.2.2 29-31 3.2.3 31 - 34 3.2.3 32 - 33 3.2.3 3.2.3 3.3.1 33 33 36 3.3.1 35 - 36 3.3.3 38 3.3.4 39 3.7.2.6 65 Bổ sung mô tả toán thực tế áp dụng SSO vào hệ thống Bổ sung giải pháp giải tốn thực tế phân tích lý lựa chọn giải pháp Bổ sung lý lựa chọn PHP Laravel Framework Bổ sung lý lựa chọn giao thức Oauth2 Sửa lại chức Firewall Fortigate Sửa lại hình vẽ mơ hình vật lý (hình 11 hình 12) Sửa lại đối tượng hệ thống SSO (hình 14) Sửa lại đối tượng sơ đồ hoạt động (hình 15) Bổ sung bảng số kết thử nghiệm tính SSO Bổ sung thêm đánh giá chuyên gia 4.1 66 - 67 4.1 67 - 68 Bổ sung thêm kết luận hạn chế khó khăn hệ thống SSO triển khai 10 Sửa lỗi tả 11 Sửa lỗi trích dẫn tài liệu tham khảo Ngày Giáo viên hướng dẫn PGS TS Nguyễn Linh Giang CHỦ TỊCH HỘI ĐỒNG PGS TS Trương Thị Diệu Linh tháng năm Tác giả luận văn Vũ Tuấn Anh LỜI CẢM ƠN Đầu tiên, xin gửi lời cảm ơn sâu sắc tới Thầy giáo – PGS.TS Nguyễn Linh Giang – trưởng mơn Truyền thơng Mạng máy tính, Viện Cơng nghệ thông tin Truyền thông, Trường Đại học Bách Khoa Hà Nội hướng dẫn cho lời khuyên trình thực luận văn Tiếp theo, xin chân thành cảm ơn thầy cô Viện Công nghệ thông tin truyền thông, Viện đào tạo sau đại học, Trường Đại học Bách Khoa Hà Nội tạo điều kiện cho suốt trình học tập nghiên cứu trường Ngồi ra, tơi xin cảm ơn đề tài KC.01.15/16-20 hỗ trợ tơi q trình thực luận văn Nghiên cứu tài trợ Quỹ Phát triển khoa học công nghệ Quốc gia (NAFOSTED) đề tài mã số 102.02- 2019.314 Cuối cùng, xin bày tỏ lòng cảm ơn tới người thân gia đình, bạn bè động viên giúp đỡ để tơi hồn thành luận văn Hà Nội, ngày … tháng … năm 2020 Tác giả LVThS Vũ Tuấn Anh MỤC LỤC MỤC LỤC i DANH MỤC KÝ HIỆU, CÁC CHỮ VIẾT TẮT iii DANH MỤC HÌNH ẢNH iv DANH MỤC BẢNG BIỂU vi MỞ ĐẦU 1 Đặt vấn đề Phương pháp đề xuất Bố cục luận văn CHƯƠNG 1: Cơ chế đăng nhập lần (SSO) 1.1 Giới thiệu SSO 1.1.1 Khái niệm 1.1.2 Các phương pháp xác thực 1.1.3 Nguyên lý hoạt động 1.2 Các giao thức xác thực SSO phổ biến 1.2.1 Giao thức OpenID 1.2.2 Giao thức SAML 1.2.3 Giao thức OAuth2 11 1.2.4 Giao thức Kerberos 12 1.3 Một số sản phẩm SSO triển khai công ty lớn 15 1.4 Ưu điểm, nhược điểm rủi ro triển khai SSO 18 CHƯƠNG 2: Giao thức Oauth2 20 2.1 Giới thiệu OAuth2 20 2.2 Nguyên lý hoạt động 20 2.2.1 Các đối tượng OAuth2 20 2.2.2 Sơ đồ luồng hoạt động 20 2.2.3 Đăng ký thông tin ứng dụng[3] 21 2.2.4 ClientID Client Secret[3] 22 2.2.5 Các hoạt động khác 22 2.3 Các cấp ủy quyền 23 2.3.1 Cấp ủy quyền sử dụng mã ủy quyền (Authorization Code)[3] 23 2.3.2 Cấp ủy quyền ngầm định (Implicit)[3] 24 2.3.3 Cấp ủy quyền password (Password)[3] 26 2.3.4 Cấp ủy quyền thông tin ứng dụng (Client Credentials)[3] 26 i 2.4 Ưu điểm nhược điểm OAUTH2 26 CHƯƠNG 3: Đề xuất giải pháp xây dựng hệ thống SSO sử dụng giao thức OAuth2 Bệnh viện YHCTTW 28 3.1 Giới thiệu ứng dụng CNTT Bệnh viện Y Học cổ truyền TW 28 3.1.1 Giới thiệu chung Bệnh viện 28 3.1.2 Hạ tầng trang thiết bị, ứng dụng CNTT Bệnh viện .28 3.2 Giải pháp xây dựng hệ thống SSO sử dụng giao thức OAuth 2.0 28 3.2.1 Các thuận lợi khó khăn Bệnh viện .28 3.2.2 Bài toán thực tế đặt 29 3.2.3 Lựa chọn giải pháp .31 3.3 Phân tích thiết kế tổng quan hệ thống 35 3.3.1 Đề xuất mơ hình hạ tầng thiết bị Bệnh viện 35 3.3.2 Kiến trúc hệ thống thông tin 37 3.3.3 Sơ đồ khối chức hệ thống .38 3.3.4 Sơ đồ hoạt động hệ thống 39 3.4 Mục tiêu giải pháp .40 3.5 Ưu điểm nhược điểm giải pháp .40 3.6 Phạm vi thử nghiệm 41 3.7 Thử nghiệm .41 3.7.1 Môi trường thử nghiệm 41 3.7.2 Tiến hành thử nghiệm 41 Chương 4: Kết luận đề xất hướng phát triển 66 4.1 Kết luận 66 4.2 Đề xuất hướng phát triển 68 TÀI LIỆU THAM KHẢO 69 ii DANH MỤC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Từ viết tắt Nghĩa tiếng Anh Nghĩa tiếng Việt SSO Single sign-on Hệ thống đăng nhập lần AI Artificial Intelligence Trí tuệ nhân tạo Authen Authentication Xác thực Author Authorization Thẩm định (Ủy quyền) PKI Public key infrastructure Hạ tầng khóa cơng khai LDAP Lightweight Directory Access Giao thức truy cập thư mục nhẹ Protocol iii DANH MỤC HÌNH ẢNH Hình 1: Giới thiệu SSO[10] Hình 2: Phân loại phương thức xác thực[12] Hình 3: Cách thức hoạt động Single sign-on[4] Hình 4: Cách thức hoạt động OpenID Connect[16] Hình 5: Cách thức hoạt động SAML[5] 10 Hình 6: Cách thức hoạt động OAuth2[1] 12 Hình 7: Cách thức hoạt động Kerberos[13] 13 Hình 8: Sơ đồ luồng hoạt động OAuth2[3] 21 Hình 9: Sơ đồ hoạt động Authorization Code[3] 23 Hình 10: Sơ đồ hoạt động Implicit[3] 25 Hình 11: Mơ hình kiến trúc vật lý 35 Hình 12: Mơ hình hạ tầng thiết bị đề xuất 36 Hình 13: Kiến trúc hệ thống thông tin 37 Hình 14: Sơ đồ khối chức hệ thống Single sign-on sử dụng OAuth2 38 Hình 15: Sơ đồ hoạt động hệ thống 39 Hình 16: Khởi tạo mơi trường Webserver máy tính cá nhân 42 Hình 17: Giao diện mặc định dự án Laravel 42 Hình 18: Tạo sở liệu PhpMyAdmin (Xampp) 43 Hình 19: Sửa lại code file AppServiceProvider.php 44 Hình 20: Thêm thơng báo ‘Trait Notifiable’ vào file User.php 45 Hình 21: Thay đổi driver api file auth.php 46 Hình 22: Khai báo Vue component file app.js 47 Hình 23: Quản lý User Server Oauth2 47 Hình 24: Đăng ký route cho phần tin tức 48 Hình 25: Đăng ký route cho Website1 48 Hình 26: Hiển thị cài đặt kết nối Oauth2 Server Website1 49 Hình 27: Lưu cấu hình kết nối Oauth2 vào sở liệu 49 Hình 28: Thực đăng nhập tài khoản Server Oauth2 50 Hình 29: Hàm Callback sau login thành công Oauth2 50 Hình 30: Màn hình Welcome - Hiển thị thông tin tài khoản người dùng 51 Hình 31: Tạo database cho website2 52 iv Hình 32: Cấu hình lại file env 52 Hinh 33: Kiểm tra biến môi trường PHP 53 Hình 34: Các bước cài đặt biến môi trường PHP 56 Hình 35: Cài đặt biến mơi trường PHP thành cơng 57 Hình 36: Bộ code thử nghiệm gồm thư mục 57 Hình 37: Sau import CSDL thành công 58 Hình 38: File khởi động bat để kích hoạt khởi động Project 58 Hình 39: Khởi đồng thành công server port 59 Hình 40: Trang chủ Oauth2 Server 59 Hình 41: Đăng ký tài khoản Oauth2 Server 60 Hình 42: Giao diện trang quản trị 60 Hình 43: Giao diện trang quản lý tin tức 60 Hình 44: Giao diện chức chỉnh sửa tin tức 61 Hình 45: Hồn thành bước cấu hình cài đặt SSO 63 Hình 46: Cấu hình Oauth2 Client Website1 63 Hình 47: Cấu hình Oauth2 Client Website2 64 Hình 48: Thơng báo người dùng có đồng ý ủy quyền hay khơng? 64 Hình 49: Màn hình đăng nhập thành công Webiste1 64 Hình 50: Màn hình đăng nhập thành cơng Webiste2 65 v Next Hình 34: Các bước cài đặt biến mơi trường PHP 56 Hình 35: Cài đặt biến môi trường PHP thành công 3.7.2.6 Thử nghiệm hệ thống Bộ source code hệ thống SSO thử nghiệm bao gồm thư mục chứa file sau: Hình 36: Bộ code thử nghiệm gồm thư mục - Bước 1: Copy thư mục SSO chứa thư mục database, oauth2, website1, website2 vào folder xampp/htdocs Ví dụ: Như hình vào thư mục sau trường hợp tác giả: 57 D:\xampp_v7\htdocs\sso - Bước 2: Thư mục Database => Chứa toàn CSDL (database) hệ thống thử nghiệm.Thực import vào sở liệu ‘mysql’ + Tạo CSDL liệu auth2 => thực import file database/oauth2.sql + Tạo CSDL liệu auth2_website => thực import file database/oauth2_website.sql + Tạo CSDL liệu auth2_website2 => thực import file database/oauth2_website2.sql Hình 37: Sau import CSDL thành công - Bước 3: Thực khởi động Oauth2 Server, Website1, Website port 8000, 8001, 8002: + Tạo file run.bat (làm nhiệm vụ khởi động Server) thư mục Oauth2, Website1, Website2; Hình 38: File khởi động bat để kích hoạt khởi động Project 58 + Chạy file run.bat để khởi động server oauth2, website1, website2 port 8000, 8001, 8002 Hình 39: Khởi đồng thành công server port - Bước 4: Truy cập đường link để vào Oauth2 Server http://127.0.0.1:8000/ Hình 40: Trang chủ Oauth2 Server + Tiến hành đăng ký đăng nhập 59 Hình 41: Đăng ký tài khoản Oauth2 Server + Giao diện trang quản trị: Hình 42: Giao diện trang quản trị + Giao diện trang quản lý tin tức: Hình 43: Giao diện trang quản lý tin tức 60 Hình 44: Giao diện chức chỉnh sửa tin tức + Trang cài đặt SSO: 61 Next 62 Next Hình 45: Hồn thành bước cấu hình cài đặt SSO ==>Xong phần cấu hình Oauth2 Server!!! - Bước 5: Truy cập đường link để vào Website1 http://127.0.0.1:8001/ Website2 http://127.0.0.1:8002/ để cấu hình Oauth2 Client Hình 46: Cấu hình Oauth2 Client Website1 Tương tự Website ta có: 63 Hình 47: Cấu hình Oauth2 Client Website2 - Bước 6: Thử nghiệm tính đăng nhập, đăng xuất + Lần User truy cập Website đăng nhập thông qua Oauth2 Server có thơng báo sau: Hình 48: Thơng báo người dùng có đồng ý ủy quyền hay khơng? + Nếu đồng ý chọn ==> Authorize (Ủy quyền) ==> Màn hình đăng nhập thành cơng Hình 49: Màn hình đăng nhập thành công Webiste1 + Nếu không đồng ý ==> Chọn Cancel ==> Màn hình trang chủ + Tương tự Website 2, sau lần có thơng báo chọn đồng ý ‘Authorize’ 64 Hình 50: Màn hình đăng nhập thành cơng Webiste2 Qua q trình đăng nhập lần có thơng báo ‘Authorize’ ‘Cancel’ bạn lựa chọn đồng ý ‘Authorize’ cho Website truy cập lấy thông tin người dùng Oauth2 Server Website1 Website2 bạn đăng nhập Oauth2 Server tự động đăng nhập Website1 Website2 phiên đăng nhập (1 khoảng thời gian định) Tương tự thử nghiệm bạn chọn đăng xuất tài khoản Oauth2 Server tự động thoát Website1, Website2 Điều đáp ứng yêu cầu toán đặt hệ thống SSO chuẩn Oauth2 Bảng 3: Một số kết thử nghiệm tính SSO STT Kịch Đăng nhập Oauth2 Server Đăng xuất Oauth2 Server Đăng nhập Website or Website Ấn F5 Website1, website đăng nhập thành công Oauth2 Server Kết thử nghiệm thu Tự động đăng nhập Website1 Website Tự động đăng xuất Website1 Website Tự động chuyển hướng trang đăng nhập Oauth2 Server tương tự kịch Hiển thị trạng thái đăng nhập thành công thông tin người dùng phạm vi cho phép truy cập tài nguyên thiết lập 65 CHƯƠNG 4: KẾT LUẬN VÀ ĐỀ XẤT HƯỚNG PHÁT TRIỂN 4.1 Kết luận  Với giải pháp đưa đạt số kết sau: - Xây dựng thành công hệ thống Single sign-on giao thức chuẩn Oauth2 với tài nguyên có sẵn sử dụng PHP Laravel Framework (Laravel Passport) - Nâng cao trải nghiệm, tính thân thiện, dễ sử dụng cho người dùng - Kết hợp phần cứng phần mềm để tạo mơ hình bảo mật nhiều lớp - Từng bước xây dựng tảng sở cho việc phát triển nghiệp vụ quản lý tập trung, tăng cường ứng dụng Công nghệ thông tin (CNTT) quản lý hành bệnh viện góp phần đại hóa, tiến tới mục tiêu xây dựng Bệnh viện thơng minh Luận văn trình bày giải pháp xây dựng hệ thống Single sign-on giao thức chuẩn OAuth2 cho Bệnh viện Y Học cổ truyển Trung Ương điều kiện thực tế đơn vị Bên cạnh lợi ích to lớn hệ thống SSO mang lại luận văn mặt hạn chế (chưa có chuẩn hóa chung, cần phải triển khai tảng hạ tầng trang thiết bị tương đối), khó khăn (đối với hệ sinh thái chưa phát triển đầy đủ xây dựng SSO chưa bật lợi ích to lớn nên đơn vị khó đầu tư kinh phí vào), đề xuất bổ sung (các vấn đề liên quan đến bố trí hạ tầng, tảng bảo mật) để hệ thống SSO hồn thiện hướng dẫn, định hướng PGS TS Nguyễn Linh Giang  Đánh giá SSO chuyên gia[17]: “SSO giúp đơn giản hóa việc quản trị truy cập người dùng quản trị viên hệ thống” Patrick Tiquet, Giám đốc An ninh & Kiến trúc Keeper Security, nói “Quản trị viên nhanh chóng ủy quyền thu hồi quyền truy cập cho người dùng / dịch vụ riêng lẻ vị trí giao diện Đối với tổ chức phải quản lý quyền truy cập vào hàng chục hàng trăm dịch vụ nội bên ngồi, SSO giải pháp thực tế để quản lý quyền truy cập cách an toàn” “Các doanh nghiệp nên thực Single sign on lý số người gọi bàn trợ giúp mật bị quên Và gọi đắt đỏ” Mark Wilcox, Phó chủ tịch phát triển kinh doanh ICSynergy 66 cho biết Wilcox làm việc Đăng nhập lần từ năm 1996 “Lý số Đăng nhập lần cải thiện bảo mật tổng thể Khi bạn có mật để nhập bạn giảm số lượng mật bị xâm phạm” “SSO khiến lo lắng” Kenneth S Robb, Chuyên gia tư vấn bảo mật rủi ro Cyber Cyber Solutions “Nó điều bình thường mơ hình “ Tiện lợi ”cho người dùng chuyển qua lại hệ thống liên quan Điều làm tăng nguy công bên thứ lên mức cao hầu hết công ty không phân loại lại mối quan hệ họ với đối tác SSO họ thay đổi mối quan hệ SSO Nó có hiệu mở rộng mạng bạn bạn cần phải nghiêm túc quan tâm đến bên thứ bạn để đảm bảo họ tuân theo tiêu chuẩn cao an ninh” Kari Lindemuth KDG cho biết: “Sự đơn giản không đảm bảo an ninh, đặc biệt với tất vi phạm liệu mà thấy năm qua” “SSO ngăn chặn nghiêm trọng bảo mật mật khẩu, khiến liệu người dùng dễ bị đánh cắp Nếu tin tặc truy cập mật SSO bạn, tất tài khoản bạn mở ” “Một hạn chế khác SSO tất xác thực phải thực thơng qua IDO SSO, điểm thất bại tiềm mục tiêu cao cấp cho bên độc hại”, Tiquet nói thêm “Nếu IDO SSO khơng khả dụng, người dùng xác thực với dịch vụ Nếu IDO SSO bị xâm phạm, tất dịch vụ dựa vào SSO để xác thực có nguy bị xâm phạm Tất dịch vụ kết nối với việc triển khai SSO an toàn IDO SSO Một quản trị viên giả mạo hacker cần có quyền truy cập vào địa điểm để có khả thỏa hiệp dịch vụ dựa SSO để xác thực” Cách bảo mật Single sign-on Dù khơng tệ Đăng nhập trình bày số rủi ro bảo mật bạn thêm lớp bảo mật dạng xác thực hai yếu tố (2FA) Với Đăng nhập lần đại sử dụng hệ thống Okta Oracle Identity Cloud việc triển khai xác thực mạnh mẽ cách sử dụng xác thực đa yếu tố trở nên dễ dàng nhiều, Wilcox cho biết “Xác thực đa yếu tố người dùng cuối phải cung cấp dạng nhận dạng Thơng thường, mật mã pin lần ” “Cho dù nói đến email sở liệu đám mây, chúng tơi ln khun khách hàng chúng tơi kích hoạt xác thực hai bước tài khoản họ”, Lindenmuth cho biết “Đó bước bổ sung mà người dùng phải tuân theo, bổ sung thêm lớp bảo mật bổ sung mà họ vui mừng có cơng mạng tiếp theo” 67  Theo nhận định chủ quan tác giả: Bản thân hệ thống SSO không thực cải thiện vấn đề bảo mật thực tế khơng triển khai cách làm giảm bảo mật rủi ro tiềm tàng lớn, hậu khơn lường Tuy nhiên, nhìn theo mặt tích cực lợi ích mà SSO mang lại, hệ thống SSO mang lại ‘thuận tiện’ lớn cho người dùng, tạo lên cách mạng ‘thông minh’ thực nghiệp ‘quản lý tập trung’ cho người quản trị hệ thống 4.2 Đề xuất hướng phát triển - Tiếp tục nghiên cứu giải pháp xây dựng hệ thống Single sign-on sử dụng Oauth2 tích hợp với tất cẩ đối tượng ứng dụng phần mềm Web khác (Web Application), ứng dụng di động (Mobile App), Internet Vạn Vật (IOT)… - Nghiên cứu kết hợp phương pháp xác thực phù hợp với nhiều đối tượng tăng cường bảo mật an tồn thơng tin cho người dùng dự tốn ngân sách - Hoàn thiện giải pháp áp dụng vào thực tế đơn vị công tác 68 TÀI LIỆU THAM KHẢO [1] D Hardt, Ed (October 2012), The OAuth 2.0 Authorization Framework (https://tools.ietf.org/pdf/rfc6749.pdf) [2] Jaime Lightfoot (30, May 2016), Authentication and Authorization: OpenID vs OAuth2 vs SAML (https://spin.atomicobject.com/2016/05/30/openid-oauth-saml) [3] Mitchell Anicas (21, July 2014), An Introduction to OAuth (https://www.digitalocean.com/community/tutorials/an-introduction-tooauth-2) [4] Parul Garg, Dr Yashpal Singh (6, June 2016), SSO (Single Sign On) Implementation (https://pdfs.semanticscholar.org/3194/f5175fa44005012a15f67dc48fa711b 2c0b3.pdf) [5] Đào Văn Hùng (26, April 2019), Giải thích cách hoạt động SAML (https://blog.daovanhung.com/post/giai-thich-cach-hoat-dong-cua-saml) [6] Cục Công nghệ thông tin, Bộ Y tế, Tiêu chí Bệnh viện thơng minh Việt Nam, Hà Nội, tr 11-14 [7] Website: http://openidexplained.com [8] Website: https://oauth.net/about/introduction/ [9] Website: https://www.tutorialspoint.com/oauth2.0/oauth2.0_overview.htm [10] Website: https://vivas.vn/2019/06/27/single-sign-on-sso-dang-nhap-motlan-va-nhung-dieu-ban-chua-biet/ [11] Website: https://en.wikipedia.org/wiki/List_of_single_signon_implementations [12] Website: http://what-when-how.com/information-science-and technology/authenticationmethods-for-computer-systems-securityinformation-science [13] Website: https://letonphat.wordpress.com/2010/10/21/quy-trnhho%E1%BA%A1t-d%E1%BB%99ng-kerberos/ [14] Website: https://gokisoft.com/ [15] Website: https://blog.cloud365.vn/ldap/LDAP-part-1-gioi-thieu-ve-LDAP/ [16] Website: https://viblo.asia/p/tim-hieu-oauth-voi-openid-connect1VgZv82R5Aw 69 [17] Website: https://ssl.vn/single-sign-on-la-gi-single-sign-on-co-phu-hop-voitrang-web-cua-ban-khong.html [18] Website: https://jobs.hybrid-technologies.vn/blog/laravel-la-gi/ 70 ... tài khoản đăng ký tập trung hệ thống ‘Auth Server’ tạo Người dùng đăng nhập vào hệ thống ‘Auth Server’ tự động đăng nhập vào tất hệ thống liên quan, trường hợp người dùng đăng nhập vào ‘Auth... thiết bị phần cứng để tăng cường tính bảo mật cho hệ thống Người dùng đăng nhập vào hệ thống tự động đăng nhập vào tất hệ thống lại phiên đăng nhập Giải pháp tạo tảng sở giúp cho Bệnh viện xây... để kết nối bảo mật với hệ thống, thông thường dùng ID (Identification) mật Quá trình đăng nhập gồm bước xác thực thẩm định (ủy quyền): - Xác thực (Authentication): Xác thực người dùng có hợp