Tất cả bài viết

Tự xây hay mua auth: hóa đơn bạn không lường trước

AuthagonalJune 30, 2026
authbuild-vs-buyssosecuritysaas

Được dịch bằng AI từ bản gốc tiếng Anh. Đọc bản gốc

Xác thực là tính năng mà mọi kỹ sư đều chắc mẩm mình có thể xây trong một cuối tuần, và họ đúng. Bạn có thể dựng một biểu mẫu đăng nhập, một bảng người dùng, và một email đặt lại mật khẩu xong xuôi vào tối Chủ nhật. Cái cuối tuần đó là có thật. Cái cuối tuần đó cũng không phải là chi phí. Chi phí là tất cả những gì ập đến sau đó, theo một lịch trình bạn không định đoạt, cho một hệ thống bạn không bao giờ có thể tắt đi.

Phần việc mà bạn tưởng là toàn bộ công việc

Email và mật khẩu. Một bảng phiên. Một liên kết "quên mật khẩu" gửi email một token. Đăng nhập mạng xã hội nếu bạn muốn làm cho kỹ. Cái này thực sự chỉ tốn một cuối tuần, và nếu đó là toàn bộ công việc, thì chắc chắn bạn nên tự xây. Nó không phải là toàn bộ công việc, và bạn biết là không, đó là lý do bạn đang đọc một bài viết tự-xây-hay-mua thay vì cứ thế bắt tay xây luôn.

Hóa đơn bạn không lường trước

Giờ đây bạn sở hữu một bề mặt tấn công bảo mật, vĩnh viễn. Băm mật khẩu, và băm lại từng người dùng vào cái ngày bạn nhận ra hệ số chi phí bcrypt của mình được tinh chỉnh cho phần cứng năm 2019. Giới hạn tần suất và khóa tài khoản. Nhồi thông tin đăng nhập (credential stuffing), bởi vì điểm cuối đăng nhập của bạn sẽ góp mặt trong mọi danh sách phát lại dữ liệu rò rỉ chỉ trong vòng một tháng sau khi ra mắt. Và cái lớn nhất: trách nhiệm pháp lý. Cái ngày bạn lưu trữ thông tin đăng nhập là bạn trở thành mục tiêu, và một vụ rò rỉ thôi không còn là một rủi ro trừu tượng trong bộ slide định giá của người khác nữa. Nó là sự cố của bạn, email thông báo sự cố của bạn, lòng tin của khách hàng của bạn, và có thể là cả cơ quan quản lý của bạn.

Công việc giao thức ập đến ngay khoảnh khắc bạn bán cho bất kỳ ai nghiêm túc. SSO doanh nghiệp nghĩa là SAML, và SAML nghĩa là xác minh chữ ký XML, vốn là một thể loại CVE của riêng nó (bạn thực sự không muốn chạm trán bọc chữ ký trên môi trường production đâu; đọc thêm tại đây). SCIM nghĩa là xây dựng việc cấp phép hủy cấp phép, và hủy cấp phép là một biện pháp kiểm soát bảo mật: làm sai nó và một nhân viên đã bị sa thải vẫn giữ quyền truy cập. MFA nghĩa là đăng ký thiết bị, mã khôi phục, và hàng đợi hỗ trợ khi có ai đó làm mất điện thoại. Nhật ký kiểm toán nghĩa là lưu giữ và chống giả mạo, bởi vì kiểm toán viên SOC 2 của khách hàng sẽ hỏi, và "chúng tôi ghi log vào một file nào đó" không phải là một câu trả lời.

Cái đuôi vận hành thì không bao giờ kết thúc. Xoay vòng khóa và JWKS. Vô hiệu hóa phiên thực sự hoạt động trên mọi thiết bị. Thu hồi token. Và trực ca, cho cái hệ thống duy nhất trong ngăn xếp của bạn mà khi nó sập là kéo theo mọi thứ: không ai đăng nhập được, không lời gọi API nào được xác thực, cả sản phẩm của bạn chỉ còn là một trang lỗi 500. Auth là tier zero. Bạn đang đăng ký giữ cho một hệ thống bảo mật tier zero chạy mãi mãi, với đúng số nhân sự mà lẽ ra bạn định dồn cho sản phẩm thực sự của mình.

Cái đuôi tuân thủ thì lặp lại hằng năm. SOC 2, ISO 27001, bảng câu hỏi bảo mật của một khách hàng tiềm năng: mỗi cái đều hỏi, một cách chi tiết, về từng hạng mục ở trên. Các kiểm toán viên chẳng mảy may xiêu lòng trước câu "chúng tôi tự làm lấy." Mua auth cho phép bạn chỉ vào các biện pháp kiểm soát của một nhà cung cấp; tự xây biến những biện pháp kiểm soát đó thành của bạn để ghi chép tài liệu, chứng minh, và bảo vệ, mỗi năm.

Khi nào tự xây mới thực sự là lựa chọn đúng

Đây không phải là một lời chào hàng kiểu "luôn luôn mua," bởi vì như thế là không thành thật và bạn sẽ nhìn thấu ngay. Hãy tự xây auth của riêng bạn khi:

  • Đó là một công cụ nội bộ nhỏ nằm sau một VPN, vài ba người dùng, không có bề mặt tuân thủ nào. Lúc đó cuối tuần thực sự đúng là toàn bộ công việc.
  • Auth chính là sản phẩm của bạn. Nếu bạn đang xây một công ty về danh tính, hãy xây danh tính. Đó là điểm khác biệt của bạn, không phải chi phí phụ trội.
  • Bạn có những yêu cầu thực sự khác thường mà không nhà cung cấp nào đáp ứng, một đội bảo mật chuyên trách sẽ sở hữu kết quả đó suốt cả vòng đời của nó. Hãy để ý cả hai vế của câu này. Cái đội ngũ mới là vế đắt đỏ.

Ngoài những trường hợp đó ra thì bài toán đơn giản hơn vẻ ngoài của nó. Cái giá của "tự xây" chưa bao giờ là cái cuối tuần đầu tiên. Đó là việc sở hữu vĩnh viễn một hệ thống trọng yếu về bảo mật mà chẳng làm cho sản phẩm của bạn tốt hơn chút nào, chỉ khiến nó "của bạn" hơn mà thôi.

Nhìn lại một cách thành thật

Tự xây auth không làm cho sản phẩm của bạn có giá trị hơn đối với bất kỳ một khách hàng nào. Chưa từng có ai mua phần mềm của bạn chỉ vì bạn tự tay viết phần kiểm tra chữ ký SAML. Nó chỉ biến auth từ vấn đề của người khác thành vấn đề của bạn, mãi mãi, và tiêu tốn công sức kỹ thuật mà lẽ ra bạn có thể dồn vào thứ mà người ta thực sự trả tiền để có.

Lý lẽ phản đối thường gặp đối với việc mua, rằng các nhà cung cấp auth tính phí cắt cổ để bật các tính năng doanh nghiệp, là có thật. Nhưng đó là tranh luận về việc chọn nhà cung cấp nào, chứ không phải về tự xây hay mua. Phần lớn cái hóa đơn đó là một khoản thuế tính năng mà bạn không phải trả. Hãy mua giải pháp auth bao gồm sẵn SSO, SCIM, MFA, và nhật ký kiểm toán mà không có trạm thu phí tính theo từng kết nối, và câu hỏi tự-xây-hay-mua phần lớn sẽ tự nó trả lời.

Trước khi bạn dồn cả một sprint vào một hệ thống đăng nhập, đáng để xem chính xác những gì khách hàng doanh nghiệp sẽ đòi hỏi ở nó. Đây là những gì được bao gồm, trên mọi gói.