在讨论应用程序安全性时,经常会出现授权一词。您需要确切知道谁在使用您的产品以及如何使用。否则,攻击者可以访问重要信息。因此,有时需要检查用户是否在应用程序中获得授权以及他可以访问什么。了解如何执行此操作并查看本文中的授权概念。
什么是用户授权?
授权的概念经常与用户身份验证相混淆。什么是授权?授权是检查用户是否有权执行特定操作的过程。另一方面,身份验证负责验证用户的标识符。日志和密码通常充当标识符。例如,它在电子商店中的工作方式:身份验证过程在用户登录其个人帐户的那一刻进行。此时检查是否存在这样的用户。只有当用户开始在商店中执行某些操作时才会启动授权,例如,将产品添加到购物车。简单地说,身份验证回答了“你是谁?”这个问题。当授权有助于理解“你能做什么?”并确定您有权访问哪些数据、操作和应用程序功能。授权过程要复杂得多。它还包括用户组、角色及其层次结构和操作类型的概念。
授权类型
有几种类型的授权。
基于角色的授权。在这种情况下,管理员会为用户分配一个或多个角色,这使他可以访问应用程序的特定部分和功能、各种页面和组件。这种方法有助于定义组织中的层次结构。例如,当对某些数据的访问权限因职位而异时:具有编辑角色的用户可以访问所有出版物并有权对其进行编辑,而作者只能更改自己的出版物,并且可以阅读其他作者的出版物。
自主访问控制 (DAC) 。使用这种方法,访问权限被授予特定用户或用户组。主体,即对象的所有者,为每个单独的用户设置对它的权限。选择性模型的一个简单示例是 Google Docs,所有者可以将访问权限转移和限制给其他用户。
强制授权模式。在此模型中,为系统中的每个元素分配了一个机密级别。用户被赋予一个访问级别,该级别决定了他们可以与哪些对象进行交互。该模型通常用于安全要求更高的系统中。
AppMaster中的授权
在您在 AppMaster 中创建的应用程序中,用户注册由Auth 模块表示。它允许您创建和编辑用户组以及对它们的访问权限。当您创建一个项目时,该模块已经内置在其中。
模块设置允许您管理以下操作:
- 启用在应用程序中的注册;
- 创建具有注册访问权限的用户组列表;
- 设置用户会话;
- 创建和编辑用户组。
如何检查用户是否在应用程序中获得授权?
授权检查通常与安全性相关,需要确保用户获得授权并有权访问应用程序的某些部分。在 AppMaster 中,要检查用户是否在应用程序中被授权,您需要创建一个业务流程。我们将 USER 对象传递给业务流程并获取其会话列表。数组中的最后一个会话是应用程序中的最后一个活动用户会话。为了响应业务流程,我们返回Active 。如果Active为真,则用户被授权。
这样您就可以在 AppMaster 中创建的应用程序中快速检查用户的授权。
