Bảo mật căn bản cho hệ thống đăng nhập sinh viên: đủ chắc để không bị hỏi khó

Một hệ thống đăng nhập trong đồ án không cần đạt mức enterprise, nhưng chắc chắn phải đủ an toàn để không bị phản biện gắt ở những câu hỏi cơ bản. Điều quan trọng là phải có các lớp bảo vệ tối thiểu và giải thích được vì sao mình chọn cách làm đó.

1. Mật khẩu bắt buộc phải được hash

Đây là yêu cầu gần như bắt buộc. Không lưu plain text, không “mã hóa tự chế”. Dùng bcrypt hoặc thư viện uy tín để hash mật khẩu và giải thích được lợi ích của hashing một chiều nếu bị hỏi.

2. Phân quyền phải chặn ở API, không chỉ ở giao diện

Ẩn nút “Xóa” trên UI không có nghĩa là hệ thống an toàn. API vẫn phải check session, role và trạng thái tài khoản trước khi cho sửa dữ liệu nhạy cảm. Đây là lỗi mà rất nhiều đồ án bị bắt ngay.

3. Validate dữ liệu đầu vào để giảm bug và giảm rủi ro

Schema validation bằng Zod hoặc thư viện tương tự giúp chặn request sai định dạng từ đầu. Nhờ đó hệ thống ít lỗi runtime hơn và code route cũng sạch hơn đáng kể.

4. Không để lộ secret và stack trace

Mọi key bên thứ ba, secret auth, secret payment và secret email phải nằm ở biến môi trường. Ngoài ra, response lỗi gửi về client nên ngắn gọn, tránh trả stack trace hoặc thông tin nội bộ.

Bảo mật căn bản không hề làm dự án nặng thêm quá nhiều, nhưng lại giúp hệ thống đáng tin hơn hẳn. Đó cũng là một trong những điểm phân biệt giữa đồ án “chạy được” và đồ án “được đánh giá tốt”.

Nếu đồ án của bạn có đăng nhập, hãy kiểm tra lại ngay: mật khẩu đã hash chưa, API admin đã chặn role chưa và secret đã tách khỏi source code chưa.