OAuth 2.0

OAuth 2.0 là một framework ủy quyền được sử dụng rộng rãi, cho phép các ứng dụng bên thứ ba có được quyền truy cập giới hạn vào tài khoản người dùng trên một dịch vụ HTTP. Apidog có thể trực tiếp tạo token OAuth 2.0 theo đặc tả và tự động đính kèm chúng vào các yêu cầu, loại bỏ nhu cầu tạo token trong các công cụ bên ngoài.

Các loại cấp quyền ủy quyền

OAuth 2.0 hỗ trợ nhiều loại cấp quyền ủy quyền, mỗi loại phù hợp với các trường hợp sử dụng khác nhau. Hãy chọn loại cấp quyền phù hợp dựa trên yêu cầu của ứng dụng của bạn và đặc tả của nhà cung cấp API.

Loại cấp quyền	Trường hợp sử dụng	Bảo mật	Khi nào sử dụng
Authorization Code	Ứng dụng web phía máy chủ	Cao	Luồng phổ biến nhất cho các ứng dụng web
Authorization Code (With PKCE)	Ứng dụng di động/SPA	Rất cao	Tăng cường bảo mật cho public client
Implicit	Ứng dụng dựa trên trình duyệt (cũ)	Trung bình	Đã không còn được khuyến nghị, hãy dùng PKCE thay thế
Password Credentials	Ứng dụng bên thứ nhất đáng tin cậy	Trung bình	Trao đổi trực tiếp tên người dùng/mật khẩu
Client Credentials	Máy với máy	Cao	Xác thực giữa các dịch vụ

Lựa chọn loại cấp quyền

Chọn loại cấp quyền phù hợp với yêu cầu của nhà cung cấp API của bạn. Việc sử dụng sai loại cấp quyền sẽ dẫn đến lỗi xác thực.

Cấu hình: Authorization Code

Luồng Authorization Code là luồng OAuth 2.0 bảo mật nhất và được sử dụng phổ biến nhất cho các ứng dụng web.

Trường bắt buộc

Trường	Mô tả	Nguồn
Auth URL	URL endpoint ủy quyền	Tài liệu OAuth của nhà cung cấp API
Access Token URL	URL endpoint token	Tài liệu OAuth của nhà cung cấp API
Callback URL	URI chuyển hướng của ứng dụng của bạn	Ứng dụng của bạn (phải được đăng ký với nhà cung cấp)
Client ID	Mã định danh ứng dụng của bạn (App ID)	Bảng điều khiển dành cho nhà phát triển của nhà cung cấp API
Client Secret	Bí mật ứng dụng của bạn (App Secret)	Bảng điều khiển dành cho nhà phát triển của nhà cung cấp API

Lấy token

Điền tất cả các trường bắt buộc trong cấu hình OAuth 2.0

Nhấp vào nút Get Token

Một trang đăng nhập sẽ bật lên trong trình duyệt của bạn

Hoàn tất quy trình đăng nhập và ủy quyền

Trang đăng nhập sẽ tự động đóng

Token sẽ được tự động lấy và hiển thị

Sau khi lấy token thành công, nội dung token và thời hạn hiệu lực của token sẽ được hiển thị trên giao diện. Khi bạn nhấp vào nút Run, token đã tạo sẽ được tự động đính kèm vào header Authorization với tiền tố Bearer.

Lựa chọn loại token

Nếu dịch vụ OAuth 2.0 trả về cả Access Token và ID Token, Apidog sẽ sử dụng Access Token theo mặc định.

Chuyển đổi loại token

Để sử dụng ID Token thay thế, hãy chọn ID Token trong tùy chọn "Token Type Used". Điều này hữu ích khi làm việc với các triển khai OpenID Connect (OIDC).

Làm mới token

Nếu Refresh Token có sẵn:

Nút Refresh Token sẽ xuất hiện

Nhấp vào nút đó để lấy access token mới mà không cần xác thực lại

Không có cửa sổ đăng nhập nào bật lên

Nếu Refresh Token không có sẵn:

Nhấp vào nút Obtain Token Again

Một cửa sổ đăng nhập sẽ bật lên để xác thực lại

Chuyển đổi tài khoản đăng nhập

Các trang đăng nhập OAuth 2.0 thường ghi nhớ trạng thái đăng nhập của bạn. Để thay đổi tài khoản:

Nhấp vào nút Clear Cookies

Nhấp vào Obtain Token

Đăng nhập bằng một tài khoản khác

Cài đặt nâng cao

Nhấp vào tùy chọn Advanced để cấu hình các tham số OAuth 2.0 bổ sung. Nếu để trống, chúng sẽ được tạo tự động.

Cài đặt	Mô tả	Mục đích
Scope	Phạm vi ủy quyền	Giới hạn phạm vi tài nguyên được truy cập
State	Tham số chuỗi ngẫu nhiên	Ngăn chặn các cuộc tấn công Cross-Site Request Forgery (CSRF)
Credentials	Cách gửi thông tin xác thực client	`Send as Basic Auth header` hoặc `Send client credentials in body`
Refresh Token URL	Endpoint làm mới tùy chỉnh	Sử dụng nếu khác với Access Token URL
HTTP Authorization Prefix	Tiền tố token trong header	Mặc định là `Bearer`, tùy chỉnh nếu cần

Thực hành bảo mật tốt nhất

Luôn sử dụng tham số State để ngăn chặn các cuộc tấn công CSRF. Apidog tự động tạo tham số này nếu để trống.

Câu hỏi thường gặp

URI chuyển hướng chính thức mà Apidog sử dụng cho xác thực OAuth2.0 là gì?

Khi thiết lập xác thực OAuth2.0 cho API của bạn trong Apidog, bạn có thể cần đăng ký một URI chuyển hướng chính thức trong máy chủ ủy quyền hoặc cài đặt client của mình. Điều này đảm bảo luồng OAuth có thể hoàn tất thành công và Apidog có thể nhận access token sau khi ủy quyền.

✅ URI chuyển hướng chính thức của Apidog:

https://oauth.apidog.com/v1/browser-callback

📌 Khi nào sử dụng:

Nếu API của bạn sử dụng OAuth2.0 Authorization Code Flow, và bạn đang cấu hình cài đặt client (chẳng hạn như trong nhà cung cấp OAuth hoặc Identity Platform của bạn), thì bạn nên thêm URI này vào trường "Redirect URIs" hoặc "Callback URLs".

Các loại cấp quyền ủy quyền#

Cấu hình: Authorization Code#

Trường bắt buộc#

Lấy token#

Lựa chọn loại token#

Làm mới token#

Chuyển đổi tài khoản đăng nhập#

Cài đặt nâng cao#

Câu hỏi thường gặp#

Các loại cấp quyền ủy quyền

Cấu hình: Authorization Code

Trường bắt buộc

Lấy token

Lựa chọn loại token

Làm mới token

Chuyển đổi tài khoản đăng nhập

Cài đặt nâng cao

Câu hỏi thường gặp