Thuật ngữ ủy quyền thường xuất hiện khi thảo luận về bảo mật ứng dụng. Bạn cần biết chính xác ai đang sử dụng sản phẩm của bạn và như thế nào. Nếu không, những kẻ tấn công có thể truy cập thông tin quan trọng. Do đó, đôi khi cần phải kiểm tra xem người dùng có được ủy quyền trong ứng dụng hay không và những gì anh ta có quyền truy cập. Tìm hiểu cách thực hiện và xem lại khái niệm ủy quyền trong bài viết này.
Ủy quyền người dùng là gì?
Thông thường khái niệm ủy quyền bị nhầm lẫn với xác thực người dùng. Ủy quyền là gì? Ủy quyền là quá trình kiểm tra xem người dùng có quyền thực hiện các hành động cụ thể hay không. Mặt khác, xác thực có trách nhiệm xác minh định danh của người dùng. Nhật ký và mật khẩu thường hoạt động như một định danh. Ví dụ: cách thức hoạt động trong cửa hàng điện tử: quá trình xác thực được thực hiện tại thời điểm người dùng đăng nhập vào tài khoản cá nhân của mình. Kiểm tra được thực hiện rằng một người dùng như vậy tồn tại tại thời điểm này. Ủy quyền chỉ được đưa ra khi người dùng bắt đầu thực hiện một số hành động trong cửa hàng, chẳng hạn như thêm sản phẩm vào giỏ hàng. Nói một cách đơn giản, xác thực trả lời câu hỏi "bạn là ai?" khi ủy quyền giúp hiểu "bạn có thể làm gì?" và xác định dữ liệu, hành động và tính năng ứng dụng nào bạn có quyền truy cập. Quá trình ủy quyền phức tạp hơn nhiều. Nó cũng bao gồm các khái niệm về nhóm người dùng, vai trò và hệ thống phân cấp của họ cũng như các loại hành động.
Các loại ủy quyền
Có một số loại ủy quyền.
Ủy quyền dựa trên vai trò . Trong trường hợp này, quản trị viên chỉ định một hoặc nhiều vai trò cho người dùng, vai trò này cung cấp cho người dùng quyền truy cập vào các phần và chức năng cụ thể của ứng dụng, các trang và thành phần khác nhau. Cách tiếp cận này giúp xác định hệ thống phân cấp trong tổ chức. Ví dụ, khi quyền truy cập vào dữ liệu nhất định thay đổi tùy thuộc vào vị trí: người dùng với vai trò biên tập viên có quyền truy cập vào tất cả các ấn phẩm và quyền chỉnh sửa chúng, trong khi tác giả chỉ có thể thay đổi ấn phẩm của chính mình và có thể đọc ấn phẩm của các tác giả khác.
Kiểm soát truy cập tùy ý (DAC) . Với cách tiếp cận này, quyền truy cập được cấp cho một người dùng hoặc một nhóm người dùng cụ thể. Chủ thể, chủ sở hữu của đối tượng, đặt các quyền đối với nó cho mỗi người dùng cá nhân. Một ví dụ đơn giản về mô hình chọn lọc là Google Docs, nơi chủ sở hữu có thể chuyển nhượng và giới hạn quyền truy cập cho người dùng khác.
Mô hình ủy quyền bắt buộc. Trong mô hình này, một mức độ bảo mật được ấn định cho mỗi phần tử trong hệ thống. Người dùng được cấp một cấp truy cập để xác định đối tượng nào họ có thể tương tác. Mô hình này thường được sử dụng trong các hệ thống có yêu cầu bảo mật ngày càng cao.
Ủy quyền trong AppMaster
Trong các ứng dụng mà bạn tạo trong AppMaster, đăng ký người dùng được đại diện bởi mô-đun Auth . Nó cho phép bạn tạo và chỉnh sửa các nhóm người dùng và truy cập các quyền đối với họ. Khi bạn tạo một dự án, mô-đun đã được tích hợp sẵn trong đó.
Cài đặt mô-đun cho phép bạn quản lý các hành động sau:
- cho phép đăng ký trong ứng dụng;
- tạo danh sách các nhóm người dùng có quyền truy cập đăng ký;
- thiết lập phiên người dùng;
- tạo và chỉnh sửa nhóm người dùng.
Làm thế nào để kiểm tra xem người dùng có được ủy quyền trong ứng dụng hay không?
Kiểm tra ủy quyền thường liên quan đến bảo mật và cần thiết để đảm bảo rằng người dùng được ủy quyền và có quyền truy cập vào các phần nhất định của ứng dụng. Trong AppMaster, để kiểm tra xem người dùng có được ủy quyền trong ứng dụng hay không, bạn cần tạo một quy trình nghiệp vụ. Chúng tôi chuyển đối tượng USER vào quy trình kinh doanh và nhận danh sách các phiên của nó. Phiên cuối cùng trong mảng là phiên người dùng hoạt động cuối cùng trong ứng dụng. Để đáp ứng quy trình kinh doanh, chúng tôi trả lại Hoạt động . Nếu Active là true, thì người dùng được ủy quyền.
Đó là cách bạn có thể nhanh chóng kiểm tra ủy quyền của người dùng trong một ứng dụng được tạo trong AppMaster.
