Cách thực hiện xác thực cURL

Alexander

04 tháng 6, 2026

Tổng quan

Cách thực hiện xác thực cURL
HTTP
HTTPS
Internet

cURL (Client URL) là một công cụ dòng lệnh có thể được gọi thông qua lệnh curl trong Windows PowerShell hoặc Unix Bash, và được sử dụng để tương tác với web. Người dùng có thể kiểm tra URL, thực hiện các yêu cầu HTTP, tải xuống và tải lên nội dung, cũng như tự động hóa các hành động web. Xác thực cURL sử dụng thông tin đăng nhập tài khoản hoặc thông tin đăng nhập kết nối (ví dụ: proxy) để ủy quyền cho một dịch vụ cụ thể. Ở đây, bạn sẽ học cách sử dụng xác thực cURL để tự động hóa các phiên duyệt web của mình.

cURL với xác thực là gì

cURL với xác thực có nghĩa là đính kèm thông tin đăng nhập vào yêu cầu HTTP để máy chủ từ xa hoặc proxy nhận diện và ủy quyền phiên của bạn.

🔑

Thông tin đăng nhập có thể bao gồm tên người dùng/mật khẩu, token hoặc khóa API.

Hình thức phổ biến nhất là xác thực cơ bản curl, sử dụng cờ -u :

bash
curl -u username:password https://api.example.com/resource

Bên trong, cURL mã hóa cặp thông tin này thành chuỗi Base64 và gửi nó trong header Authorization: Basic … . Đây là header xác thực cURL mà máy chủ đọc trước khi cấp quyền truy cập. 

💡

Bất kỳ quy trình làm việc nào kiểm tra đăng nhập, truy vấn API được bảo vệ hoặc định tuyến lưu lượng qua proxy có kiểm soát đều dựa vào một biến thể nào đó của cơ chế này.

Xác thực cURL hoạt động như thế nào

Xác thực trong cURL tuân theo mô hình thách thức-phản hồi tương tự như cách trình duyệt xử lý tường đăng nhập, nhưng hiển thị từng bước dưới dạng lệnh có thể kiểm soát.

Quy trình xác thực từng bước:

  1. cURL gửi yêu cầu đến URL đích.

  2. Nếu máy chủ yêu cầu thông tin đăng nhập, nó phản hồi với HTTP 401 Unauthorized và header WWW-Authenticate liệt kê các phương thức được chấp nhận.

  3. Nếu proxy trên đường dẫn yêu cầu thông tin đăng nhập, nó phản hồi với HTTP 407 Proxy Authentication Required và header Proxy-Authenticate .

  4. cURL thử lại yêu cầu với thông tin đăng nhập thích hợp trong header đúng.

  5. Máy chủ xác thực thông tin đăng nhập và cấp hoặc từ chối quyền truy cập.

Các lệnh và cờ xác thực chính:

  • -u user:pass / --user truyền tên người dùng và mật khẩu đến máy chủ đích (xác thực cơ bản theo mặc định)

  • --basic yêu cầu xác thực cơ bản một cách rõ ràng

  • --digest sử dụng xác thực Digest (an toàn hơn Basic qua HTTP thông thường)

  • --ntlm sử dụng NTLM (phổ biến trong môi trường Windows/doanh nghiệp)

  • --negotiate sử dụng Negotiate/Kerberos cho cấu hình SSO

  • --anyauth cho phép cURL tự động chọn phương thức mạnh nhất mà máy chủ hỗ trợ

  • -H "Authorization: Bearer TOKEN" đính kèm bearer token thủ công qua header xác thực cURL

  • --proxy-user user:pass xác thực riêng biệt với proxy

  • --proxy-anyauth cho phép cURL thương lượng xác thực với proxy

⚙️

Làm việc với Python thay vì shell? Đọc hướng dẫn của CyberYozh về tối ưu hóa retry trong Python Requests và khám phá cách các mẫu xác thực tương tự được chuyển đổi thành các phiên Python bền vững.

Xác thực proxy cURL và sticky sessions

Xác thực proxy cURL là quá trình cung cấp thông tin xác thực không phải cho trang web đích, mà cho máy chủ proxy trung gian định tuyến lưu lượng của bạn. Đây là một lớp riêng biệt với xác thực phía máy chủ và sử dụng các cờ khác nhau. Nhầm lẫn giữa hai loại này là một trong những nguyên nhân phổ biến nhất gây ra lỗi HTTP 401 và 407 trong quy trình tự động hóa trình duyệt.

🌐

Đăng ký CyberYozh và nhận proxy residential, mobile và datacenter chất lượng cao cho các tác vụ khác nhau.

Một lệnh kết hợp xác thực cả proxy và API đích trông như thế này:

bash
curl --proxy http://proxy.example.com:8080 \

     --proxy-user proxyuser:proxypass \

     -u apiuser:apipass \

     https://api.example.com/resource 
🛜

Gặp phải phản hồi chậm qua proxy? Xem hướng dẫn của CyberYozh về chẩn đoán proxy nâng cao để đo lường độ trễ DNS, TLS và TTFB từng bước một.

Cách thực hiện xác thực cơ bản với cURL

Đối với hầu hết các API được bảo vệ và công cụ doanh nghiệp, xác thực cơ bản cURL là con đường nhanh nhất để có được một yêu cầu đã xác thực hoạt động.

Quy trình xác thực thực tế:

  1. Gửi một yêu cầu thử nghiệm không có thông tin xác thực để xác nhận có tồn tại thử thách xác thực. Tìm kiếm HTTP 401 và header WWW-Authenticate: Basic trong đầu ra chi tiết:

bash
curl -v https://api.example.com/resource

  1. Thử lại với thông tin xác thực sử dụng cờ -u :

bash
curl -u username:password https://api.example.com/resource

  1. Để xây dựng thủ công header xác thực curl (hữu ích khi sao chép từ DevTools của trình duyệt):

bash
curl -H "Authorization: Basic BASE64ENCODEDSTRING" \ 
    https://api.example.com/resource 

  1. Khi yêu cầu hoạt động, chuyển lệnh vào script, cron job hoặc pipeline tự động hóa, thay thế thông tin xác thực được mã hóa cứng bằng biến môi trường hoặc trình quản lý bí mật.

Những lỗi phổ biến cần tránh: 

  • Các ký tự đặc biệt như !, $ và @ trong mật khẩu phải được đặt trong dấu ngoặc kép để tránh shell diễn giải

  • Nhầm lẫn giữa -u (xác thực máy chủ) với --proxy-user (xác thực proxy) là lỗi phổ biến nhất mà các chuyên gia báo cáo

  • Gửi xác thực Basic qua HTTP thông thường làm lộ thông tin đăng nhập, vì vậy luôn sử dụng HTTPS.

Xác thực bằng API key

Nhiều API hiện đại, bao gồm các nền tảng quản lý cơ sở dữ liệu, dịch vụ phân tích và API điều khiển proxy, thay thế cặp tên người dùng/mật khẩu bằng API key. 

🔗

Chúng là các token dài, được tạo ngẫu nhiên để xác thực một client mà không yêu cầu định danh tài khoản có thể đọc được. Bạn cũng có thể lấy CyberYozh API key để xác thực proxy.

API key thường được gửi qua header yêu cầu tùy chỉnh thay vì trường Authorization chuẩn:

bash
curl -H "X-Api-Key: YOUR_API_KEY" \

     https://api.example.com/resource 

Một số dịch vụ kết hợp xác thực dựa trên key với xác thực Basic để kiểm soát nhiều lớp. Ví dụ, MongoDB Atlas sử dụng cặp khóa công khai/riêng tư trong đó khóa công khai đóng vai trò là tên người dùng và khóa riêng tư đóng vai trò là mật khẩu.

Các phương thức xác thực khác trong cURL

Ngoài xác thực curl cơ bản, cURL hỗ trợ một số phương thức bổ sung được sử dụng trong mạng doanh nghiệp, API đám mây và môi trường nhạy cảm về bảo mật.

  • Digest (--digest) băm thông tin đăng nhập trước khi gửi, khiến nó chống chặn tốt hơn xác thực Basic qua kết nối không mã hóa. 

  • NTLM (--ntlm--proxy-ntlm) được sử dụng rộng rãi trong mạng doanh nghiệp Windows và các dịch vụ Microsoft. 

  • Negotiate/Kerberos (--negotiate) cho phép SSO trong môi trường doanh nghiệp nơi người dùng xác thực một lần vào domain và cURL kế thừa token đó. 

  • Xác thực bằng chứng chỉ client (mTLS) sử dụng --cert--key để trình bày chứng chỉ TLS thay vì mật khẩu, phổ biến trong kiến trúc zero-trust. 

  • AWS SigV4 (--aws-sigv4) xử lý việc ký yêu cầu cho các dịch vụ AWS:

bash
curl --aws-sigv4 "aws:amz:us-east-2:es" \

     --user "ACCESS_KEY:SECRET_KEY" \

     https://your-endpoint.us-east-2.es.amazonaws.com 

Khi lần đầu khám phá một endpoint mới, --anyauth (hoặc --proxy-anyauth đối với proxy) yêu cầu cURL thử gửi yêu cầu không xác thực trước, sau đó chuyển sang phương thức mạnh nhất mà máy chủ quảng bá. 

Khắc phục sự cố xác thực cURL

Các phần dưới đây đề cập đến những vấn đề phổ biến nhất gặp phải trong tự động hóa trình duyệt và quy trình làm việc với proxy khi sử dụng xác thực cURL.

HTTP 401 Unauthorized

Phản hồi 401 Unauthorized có nghĩa là máy chủ đã nhận được yêu cầu nhưng từ chối thông tin xác thực, hoặc không có thông tin xác thực nào được gửi đi.

⚙️

Để gỡ lỗi, hãy chạy curl -v để xác minh rằng header Authorization thực sự có mặt trong yêu cầu gửi đi, sau đó kiểm tra header phản hồi WWW-Authenticate để xác nhận phương thức xác thực mà máy chủ mong đợi khớp với những gì bạn đang gửi. 

HTTP 407 Proxy Authentication Required

Lỗi 407 Proxy Authentication Required có nghĩa là máy chủ proxy, không phải trang web đích, đang yêu cầu thông tin xác thực trước khi chuyển tiếp yêu cầu của bạn.

⚙️

Khắc phục bằng cách thêm --proxy-user username:password vào lệnh xác thực proxy curl của bạn; nếu proxy sử dụng NTLM hoặc Kerberos, hãy thêm --proxy-ntlm hoặc --proxy-negotiate tương ứng. Không bao giờ gửi thông tin xác thực máy chủ (-u) mà không đáp ứng lớp proxy (--proxy-user) khi cả hai đều được yêu cầu.

Vấn đề tự động hóa

Ở quy mô lớn, ngay cả các yêu cầu được xác thực chính xác cũng kích hoạt giới hạn tốc độ HTTP 429 Too Many Requests, thách thức CAPTCHA, hoặc bị cấm IP hoàn toàn khi hệ thống chống bot phát hiện các mẫu lặp lại: header giống hệt nhau, thời gian yêu cầu cố định, hoặc dải IP của trung tâm dữ liệu.

⚙️

Giải pháp kết hợp việc xoay vòng proxy dân cư hoặc di động với dấu vân tay phiên nhất quán: thay đổi header User-Agent cho mỗi phiên, sử dụng phiên cố định cho quy trình làm việc nhiều bước, và đưa vào sự biến đổi về thời gian yêu cầu. 

Đọc thêm trong hướng dẫn của chúng tôi về random user agent .

Vấn đề SSL

Lỗi SSL trong cURL (ví dụ: SSL certificate problem: unable to get local issuer certificate) xảy ra khi cURL không thể xác minh chứng chỉ của máy chủ với gói CA đáng tin cậy của nó. Điều này thường gặp với chứng chỉ tự ký, proxy kiểm tra SSL của doanh nghiệp hoặc gói CA lỗi thời. 

⚙️

Trong quá trình gỡ lỗi, --insecure (-k) vô hiệu hóa xác minh chứng chỉ, nhưng điều này không bao giờ nên được sử dụng trong môi trường sản xuất vì nó loại bỏ khả năng bảo vệ chống lại các cuộc tấn công man-in-the-middle. Hãy chỉ cURL đến gói CA chính xác với --cacert <đường_dẫn_đến_chứng_chỉ.crt>hoặc cập nhật kho chứng chỉ của hệ thống.

Kết luận: Sử dụng cURL để thao tác web

Xác thực cURL bao gồm xác thực cơ bản với -u, xác thực dựa trên token thông qua headers, xác thực proxy với --proxy-uservà các phương thức nâng cao như Digest, NTLM và API keys. Nó cho phép tự động hóa và chẩn đoán hoàn toàn các phiên web đã xác thực từ một lệnh duy nhất. Các phương pháp này mang lại khả năng gỡ lỗi nhanh hơn, phiên sticky đáng tin cậy và tích hợp sạch hơn với các API.

Kiểm tra danh mục proxy CyberYozh ngay bây giờ và nâng cao quy trình tự động hóa web của bạn.