जब एप्लिकेशन सुरक्षा पर चर्चा की जाती है तो प्राधिकरण शब्द अक्सर सामने आता है। आपको यह जानने की जरूरत है कि आपके उत्पाद का उपयोग कौन और कैसे कर रहा है। अन्यथा, हमलावर महत्वपूर्ण जानकारी तक पहुंच सकते हैं। इसलिए, कभी-कभी यह जांचना आवश्यक हो जाता है कि उपयोगकर्ता एप्लिकेशन में अधिकृत है या नहीं और उसके पास क्या एक्सेस है। इसे कैसे करें सीखें और इस लेख में प्राधिकरण अवधारणा की समीक्षा करें।
उपयोगकर्ता प्राधिकरण क्या है?
अक्सर प्राधिकरण की अवधारणा उपयोगकर्ता प्रमाणीकरण के साथ भ्रमित होती है। प्राधिकरण क्या है? प्राधिकरण यह जाँचने की प्रक्रिया है कि क्या उपयोगकर्ता को विशिष्ट कार्य करने का अधिकार है। दूसरी ओर, प्रमाणीकरण उपयोगकर्ता के पहचानकर्ता को सत्यापित करने के लिए जिम्मेदार है। लॉग और पासवर्ड अक्सर एक पहचानकर्ता के रूप में कार्य करते हैं। उदाहरण के लिए, यह इलेक्ट्रॉनिक स्टोर में कैसे काम करता है: प्रमाणीकरण प्रक्रिया उस समय की जाती है जब उपयोगकर्ता अपने व्यक्तिगत खाते में लॉग इन करता है। एक जांच की जाती है कि ऐसा उपयोगकर्ता इस समय मौजूद है। प्राधिकरण केवल तभी लॉन्च किया जाता है जब उपयोगकर्ता स्टोर में कुछ क्रिया करना शुरू करता है, उदाहरण के लिए, कार्ट में उत्पाद जोड़ना। सीधे शब्दों में कहें, प्रमाणीकरण इस प्रश्न का उत्तर देता है "आप कौन हैं?" जब प्राधिकरण यह समझने में मदद करता है कि "आप क्या कर सकते हैं?" और निर्धारित करें कि आपके पास किस डेटा, कार्रवाइयों और एप्लिकेशन सुविधाओं तक पहुंच है। प्राधिकरण प्रक्रिया बहुत अधिक जटिल है। इसमें उपयोगकर्ता समूहों, भूमिकाओं और उनके पदानुक्रम, और कार्यों के प्रकार की अवधारणाएं भी शामिल हैं।
प्राधिकरण प्रकार
कई प्रकार के प्राधिकरण हैं।
भूमिका-आधारित प्राधिकरण । इस मामले में, व्यवस्थापक उपयोगकर्ता को एक या अधिक भूमिकाएँ प्रदान करता है, जो उसे एप्लिकेशन के विशिष्ट भागों और कार्यों, विभिन्न पृष्ठों और घटकों तक पहुँच प्रदान करता है। यह दृष्टिकोण संगठनों में एक पदानुक्रम को परिभाषित करने में मदद करता है। उदाहरण के लिए, जब स्थिति के आधार पर कुछ डेटा तक पहुंच बदल जाती है: संपादक की भूमिका वाले उपयोगकर्ता के पास सभी प्रकाशनों तक पहुंच होती है और उन्हें संपादित करने का अधिकार होता है, जबकि लेखक केवल अपने स्वयं के प्रकाशनों को बदल सकता है और अन्य लेखकों के प्रकाशनों को पढ़ सकता है।
विवेकाधीन अभिगम नियंत्रण (DAC) । इस दृष्टिकोण के साथ, एक विशिष्ट उपयोगकर्ता या उपयोगकर्ताओं के समूह को एक्सेस अधिकार प्रदान किए जाते हैं। विषय, वस्तु का स्वामी, प्रत्येक व्यक्तिगत उपयोगकर्ता के लिए इसके अधिकार निर्धारित करता है। चुनिंदा मॉडल का एक सरल उदाहरण Google डॉक्स है, जहां स्वामी अन्य उपयोगकर्ताओं को एक्सेस अधिकारों को स्थानांतरित और सीमित कर सकता है।
अनिवार्य प्राधिकरण मॉडल। इस मॉडल में, सिस्टम में प्रत्येक तत्व को एक गोपनीयता स्तर सौंपा गया है। उपयोगकर्ताओं को एक एक्सेस स्तर दिया जाता है जो यह निर्धारित करता है कि वे किन वस्तुओं के साथ बातचीत कर सकते हैं। यह मॉडल आमतौर पर उन प्रणालियों में उपयोग किया जाता है जहां सुरक्षा आवश्यकताओं में वृद्धि होती है।
AppMaster में प्राधिकरण
आपके द्वारा AppMaster में बनाए गए एप्लिकेशन में, उपयोगकर्ता पंजीकरण को Auth मॉड्यूल द्वारा दर्शाया जाता है। यह आपको उपयोगकर्ता समूह बनाने और संपादित करने और उन तक पहुंच अधिकारों की अनुमति देता है। जब आप कोई प्रोजेक्ट बनाते हैं, तो मॉड्यूल उसमें पहले से ही बना होता है।
मॉड्यूल सेटिंग्स आपको निम्नलिखित क्रियाओं को प्रबंधित करने की अनुमति देती हैं:
- आवेदन में पंजीकरण सक्षम करें;
- पंजीकरण पहुंच वाले उपयोगकर्ता समूहों की सूची बनाएं;
- उपयोगकर्ता सत्र सेट करें;
- उपयोगकर्ताओं के समूह बनाएं और संपादित करें।
कैसे जांचें कि उपयोगकर्ता आवेदन में अधिकृत है या नहीं?
प्राधिकरण जांच अक्सर सुरक्षा से संबंधित होती है और यह सुनिश्चित करने के लिए आवश्यक है कि उपयोगकर्ता अधिकृत है और आवेदन के कुछ हिस्सों तक पहुंच अधिकार है। AppMaster में, यह जांचने के लिए कि उपयोगकर्ता एप्लिकेशन में अधिकृत है या नहीं, आपको एक व्यावसायिक प्रक्रिया बनाने की आवश्यकता है। हम USER ऑब्जेक्ट को व्यावसायिक प्रक्रिया में पास करते हैं और इसके सत्रों की एक सूची प्राप्त करते हैं। सरणी में अंतिम सत्र अनुप्रयोग में अंतिम सक्रिय उपयोगकर्ता सत्र है। व्यापार प्रक्रिया के जवाब में, हम सक्रिय लौटते हैं। यदि सक्रिय सत्य है, तो उपयोगकर्ता अधिकृत है।
इस प्रकार आप AppMaster में बनाए गए एप्लिकेशन में उपयोगकर्ता के प्राधिकरण की तुरंत जांच कर सकते हैं।
