Termin autoryzacja często pojawia się, gdy omawiane jest bezpieczeństwo aplikacji. Musisz dokładnie wiedzieć, kto i jak korzysta z Twojego produktu. W przeciwnym razie napastnicy mogą uzyskać dostęp do ważnych informacji. Dlatego czasami konieczne staje się sprawdzenie, czy użytkownik jest autoryzowany w aplikacji i do czego ma dostęp. Dowiedz się, jak to zrobić i przejrzyj koncepcję autoryzacji w tym artykule.
Czym jest autoryzacja użytkownika?
Często pojęcie autoryzacji jest mylone z uwierzytelnianiem użytkownika. Czym jest autoryzacja? Autoryzacja to proces sprawdzania, czy użytkownik ma prawo do wykonywania określonych czynności. Natomiast uwierzytelnianie odpowiada za weryfikację identyfikatora użytkownika. Rolę identyfikatora najczęściej pełnią logi i hasło. Przykładowo, jak to działa w sklepie elektronicznym: proces uwierzytelniania odbywa się w momencie, gdy użytkownik loguje się na swoje konto osobiste. Sprawdzane jest, czy taki użytkownik w tym czasie istnieje. Autoryzacja jest uruchamiana dopiero wtedy, gdy użytkownik zaczyna wykonywać jakąś akcję w sklepie, na przykład dodawać produkt do koszyka. Mówiąc wprost, uwierzytelnianie odpowiada na pytanie "kim jesteś?", gdy autoryzacja pomaga zrozumieć "co możesz zrobić?" i określić, do jakich danych, akcji i funkcji aplikacji masz dostęp. Proces autoryzacji jest znacznie bardziej skomplikowany. Obejmuje również pojęcia grup użytkowników, ról i ich hierarchii oraz typów działań.
Rodzaje autoryzacji
Istnieje kilka rodzajów autoryzacji.
Autoryzacjaoparta na rolach. W tym przypadku administrator przypisuje użytkownikowi jedną lub więcej ról, które zapewniają mu dostęp do określonych części i funkcji aplikacji, różnych stron i komponentów. Takie podejście pomaga zdefiniować hierarchię w organizacjach. Na przykład, gdy dostęp do pewnych danych zmienia się w zależności od stanowiska: użytkownik z rolą redaktora ma dostęp do wszystkich publikacji i prawo do ich edycji, natomiast autor może zmieniać tylko własne publikacje i może czytać publikacje innych autorów.
Dyskretna kontrola dostępu (DAC). W tym podejściu prawa dostępu przyznawane są konkretnemu użytkownikowi lub grupie użytkowników. Podmiot, właściciel obiektu, ustala prawa do niego dla poszczególnych użytkowników. Prostym przykładem modelu selektywnego jest Google Docs, gdzie właściciel może przekazywać i ograniczać prawa dostępu innym użytkownikom.
Model obowiązkowej autoryzacji. W tym modelu do każdego elementu w systemie przypisany jest poziom poufności. Użytkownicy otrzymują poziom dostępu, który określa, z jakimi obiektami mogą wchodzić w interakcje. Model ten jest zwykle stosowany w systemach, w których występują podwyższone wymagania bezpieczeństwa.
Autoryzacja w AppMasterze
W aplikacjach, które tworzysz w AppMasterze, rejestracja użytkowników jest reprezentowana przez moduł Auth. Pozwala on na tworzenie i edycję grup użytkowników oraz praw dostępu do nich. Kiedy tworzysz projekt, moduł jest już w niego wbudowany.
Ustawienia modułu pozwalają na zarządzanie następującymi działaniami:
- włączyć rejestrację w aplikacji;
- utworzyć listę grup użytkowników z dostępem do rejestracji;
- skonfigurować sesje użytkowników;
- tworzenie i edytowanie grup użytkowników.
Jak sprawdzić, czy użytkownik jest autoryzowany w aplikacji?
Sprawdzanie uprawnień jest najczęściej związane z bezpieczeństwem i jest potrzebne, aby upewnić się, że użytkownik jest autoryzowany i ma prawa dostępu do określonych części aplikacji. W AppMasterze, aby sprawdzić, czy użytkownik jest autoryzowany w aplikacji, należy stworzyć proces biznesowy. Do procesu biznesowego przekazujemy obiekt USER i otrzymujemy listę jego sesji. Ostatnia sesja w tablicy jest ostatnią aktywną sesją użytkownika w aplikacji. W odpowiedzi na proces biznesowy zwracamy Active. Jeśli Active jest prawdziwe, to użytkownik jest autoryzowany.
W ten sposób można szybko sprawdzić autoryzację użytkownika w aplikacji stworzonej w AppMasterze.
