ภาพรวมระบบ Authentication (Overview)

เอกสารในหมวดนี้คือหัวใจสำคัญของความปลอดภัยในแอปพลิเคชันของคุณ RawPush ออกแบบโครงสร้างขั้นสูงระดับ Production grade โดยไม่ต้องให้คุณมาจัดการ Session ยุ่งยาก หรือให้ใครสามารถแงะระบบเพื่อดูข้อมูลของคุณได้ฟรีๆ

ความท้าทายของ WebSockets ที่นักพัฒนาเจอ

โดยปกติแล้ว, WebSockets เป็นช่องโหว่ชั้นดี ถ้าระบบไม่ได้ป้องกันการปลอมแปลง "การสวมรอยใครก็ได้" เข้ามากดนั่งรับฟังข้อมูลสำคัญ

สถาปัตยกรรมของ RawPush ตัดความซับซ้อนทิ้ง โดยทำหน้าที่เป็นแค่ message broker คอยรับส่งข้อมูลเท่านั้น และ Client ทุกตัวที่จะเข้าถึงระบบได้ จะต้องมี Token ที่ sign โดย Secret Key (sk_xxx) จาก Backend ของคุณ เท่านั้น!

แนวคิดการยืนยันตัวตนแบบ Zero-Trust

สรุปภาพรวม

พูดง่ายๆ ก็คือ RawPush จะไม่รับรู้การยืนยันตัวตน (Login/Register) ดั้งเดิมที่คุณมี (ไม่ว่าคุณจะใช้ Email, Google Login, Apple ID หรือเบอร์โทรศัพท์)

แต่ RawPush จะเชื่อถือทุก Token ตราบใดที่ถูก sign จาก Backend ของคุณ อย่างถูกต้องด้วย HMAC-SHA256

บทความถัดไปจะเรียนรู้วิธีการใช้ Key ทั้ง 2 ชนิดให้ถูกต้อง และวิธีการสร้าง signature ใน Backend ภาษาที่คุณถนัด