O termo autorização geralmente aparece quando a segurança do aplicativo é discutida. Você precisa saber exatamente quem está usando seu produto e como. Caso contrário, os invasores podem acessar informações importantes. Por isso, às vezes torna-se necessário verificar se o usuário está autorizado no aplicativo e a que ele tem acesso. Saiba como fazer isso e analise o conceito de autorização neste artigo.
O que é autorização do usuário?
Muitas vezes o conceito de autorização é confundido com a autenticação do usuário. O que é autorização? A autorização é o processo de verificar se um usuário tem o direito de realizar ações específicas. Por outro lado, a autenticação é responsável por verificar o identificador do usuário. Logs e uma senha geralmente agem como um identificador. Por exemplo, como funciona em uma loja eletrônica: o processo de autenticação é realizado no momento em que o usuário faz login em sua conta pessoal. É feita uma verificação de que tal usuário existe neste momento. A autorização é lançada apenas quando o usuário começa a realizar alguma ação na loja, por exemplo, adicionar um produto ao carrinho. Dito de forma simples, a autenticação responde à pergunta "quem é você?" quando a autorização ajuda a entender "o que você pode fazer?" e determine a quais dados, ações e recursos do aplicativo você tem acesso. O processo de autorização é muito mais complicado. Também inclui os conceitos de grupos de usuários, funções e sua hierarquia e tipos de ações.
Tipos de autorização
Existem vários tipos de autorização.
Autorização baseada em função . Nesse caso, o administrador atribui uma ou mais funções ao usuário, que fornecem acesso a partes e funções específicas do aplicativo, várias páginas e componentes. Essa abordagem ajuda a definir uma hierarquia nas organizações. Por exemplo, quando o acesso a determinados dados muda dependendo do cargo: um usuário com a função de editor tem acesso a todas as publicações e o direito de editá-las, enquanto o autor pode alterar apenas suas próprias publicações e ler publicações de outros autores.
Controle de acesso discricionário (DAC) . Com essa abordagem, os direitos de acesso são concedidos a um usuário ou grupo de usuários específico. O sujeito, o proprietário do objeto, define os direitos sobre ele para cada usuário individual. Um exemplo simples de modelo seletivo é o Google Docs, onde o proprietário pode transferir e limitar os direitos de acesso a outros usuários.
Modelo de autorização obrigatória. Nesse modelo, um nível de confidencialidade é atribuído a cada elemento do sistema. Os usuários recebem um nível de acesso que determina com quais objetos eles podem interagir. Esse modelo geralmente é usado em sistemas onde há maiores requisitos de segurança.
Autorização no AppMaster
Nos aplicativos que você cria no AppMaster, o registro do usuário é representado pelo módulo Auth . Ele permite que você crie e edite grupos de usuários e direitos de acesso a eles. Quando você cria um projeto, o módulo já está embutido nele.
As configurações do módulo permitem que você gerencie as seguintes ações:
- habilitar o cadastro no aplicativo;
- criar uma lista de grupos de usuários com acesso de registro;
- configurar sessões de usuário;
- criar e editar grupos de usuários.
Como verificar se o usuário está autorizado no aplicativo?
A verificação de autorização geralmente está relacionada à segurança e é necessária para garantir que o usuário esteja autorizado e tenha direitos de acesso a determinadas partes do aplicativo. No AppMaster, para verificar se o usuário está autorizado na aplicação, é necessário criar um processo de negócio. Passamos o objeto USER para o processo de negócios e obtemos uma lista de suas sessões. A última sessão na matriz é a última sessão de usuário ativa no aplicativo. Em resposta ao processo de negócios, retornamos Active . Se Ativo for verdadeiro, o usuário está autorizado.
É assim que você pode verificar rapidamente a autorização do usuário em um aplicativo criado no AppMaster.