Yetkilendirme terimi genellikle uygulama güvenliği tartışıldığında ortaya çıkar. Ürününüzü tam olarak kimin ve nasıl kullandığını bilmeniz gerekir. Aksi takdirde, saldırganlar önemli bilgilere erişebilir. Bu nedenle bazen kullanıcının uygulamada yetkili olup olmadığını ve nelere erişimi olduğunu kontrol etmek gerekli hale gelir. Bunu nasıl yapacağınızı öğrenin ve bu makaledeki yetkilendirme kavramını gözden geçirin.
Kullanıcı yetkilendirmesi nedir?
Yetkilendirme kavramı genellikle kullanıcı kimlik doğrulaması ile karıştırılır. yetkilendirme nedir? Yetkilendirme, bir kullanıcının belirli eylemleri gerçekleştirme hakkına sahip olup olmadığını kontrol etme sürecidir. Öte yandan, kullanıcının tanımlayıcısını doğrulamaktan kimlik doğrulama sorumludur. Günlükler ve parola genellikle tanımlayıcı görevi görür. Örneğin, bir elektronik mağazada nasıl çalışır: Kimlik doğrulama işlemi, kullanıcının kişisel hesabına giriş yaptığı anda gerçekleştirilir. Şu anda böyle bir kullanıcının var olup olmadığı kontrol edilir. Yetkilendirme, yalnızca kullanıcı mağazada, örneğin sepete bir ürün eklemek gibi bir eylem gerçekleştirmeye başladığında başlatılır. Basitçe söylemek gerekirse, kimlik doğrulama "sen kimsin?" sorusuna yanıt verir. yetkilendirme "ne yapabilirsiniz?" Anlamaya yardımcı olduğunda ve hangi verilere, eylemlere ve uygulama özelliklerine erişiminiz olduğunu belirleyin. Yetkilendirme süreci çok daha karmaşıktır. Ayrıca kullanıcı grupları, roller ve hiyerarşileri ve eylem türleri kavramlarını da içerir.
Yetki türleri
Birkaç tür yetkilendirme vardır.
Rol tabanlı yetkilendirme . Bu durumda yönetici, kullanıcıya uygulamanın belirli bölümlerine ve işlevlerine, çeşitli sayfalara ve bileşenlere erişim sağlayan bir veya daha fazla rol atar. Bu yaklaşım, kuruluşlarda bir hiyerarşi tanımlamaya yardımcı olur. Örneğin, pozisyona göre belirli verilere erişim değiştiğinde: editör rolündeki bir kullanıcı tüm yayınlara erişebilir ve bunları düzenleme hakkına sahipken, yazar sadece kendi yayınlarını değiştirebilir ve diğer yazarların yayınlarını okuyabilir.
İsteğe bağlı erişim denetimi (DAC) . Bu yaklaşımla, belirli bir kullanıcıya veya kullanıcı grubuna erişim hakları verilir. Nesnenin sahibi olan özne, her bir kullanıcı için onun haklarını belirler. Seçici bir modele basit bir örnek, sahibinin erişim haklarını diğer kullanıcılara aktarabileceği ve sınırlayabileceği Google Dokümanlar'dır.
Zorunlu yetkilendirme modeli. Bu modelde, sistemdeki her elemana bir gizlilik düzeyi atanır. Kullanıcılara, hangi nesnelerle etkileşime girebileceklerini belirleyen bir erişim düzeyi verilir. Bu model genellikle artan güvenlik gereksinimlerinin olduğu sistemlerde kullanılır.
AppMaster'da yetkilendirme
AppMaster'da oluşturduğunuz uygulamalarda, kullanıcı kaydı Auth modülü ile temsil edilir. Kullanıcı grupları oluşturmanıza ve düzenlemenize ve bunlara erişim haklarına izin verir. Bir proje oluşturduğunuzda, modül zaten içinde yerleşiktir.
Modül ayarları, aşağıdaki eylemleri yönetmenize olanak tanır:
- uygulamada kaydı etkinleştirin;
- kayıt erişimi olan kullanıcı gruplarının bir listesini oluşturun;
- kullanıcı oturumları kurmak;
- kullanıcı grupları oluşturun ve düzenleyin.
Kullanıcının uygulamada yetkili olup olmadığı nasıl kontrol edilir?
Yetki denetimi genellikle güvenlikle ilgilidir ve kullanıcının yetkilendirildiğinden ve uygulamanın belirli bölümlerine erişim haklarına sahip olduğundan emin olmak için gereklidir. AppMaster'da, kullanıcının uygulamada yetkili olup olmadığını kontrol etmek için bir iş süreci oluşturmanız gerekir. USER nesnesini iş sürecine geçiriyoruz ve oturumlarının bir listesini alıyoruz. Dizideki son oturum, uygulamadaki son etkin kullanıcı oturumudur. İş sürecine yanıt olarak Active 'i döndürürüz. Active true ise, kullanıcı yetkilendirilmiştir.
AppMaster'da oluşturulan bir uygulamada kullanıcının yetkilendirmesini bu şekilde hızlı bir şekilde kontrol edebilirsiniz.
