Авторизация
Что такое Авторизация?
АвторизацияПроцесс определения того, что разрешено уже аутентифицированной идентичности: к каким ресурсам, действиям и при каких условиях.
Авторизация (AuthZ) следует за аутентификацией: после того как пользователь, сервис или устройство доказали, кто они есть, система должна решить, может ли эта идентичность выполнить запрошенное действие над конкретным ресурсом. Решения могут основываться на ролях (RBAC), атрибутах и политиках (ABAC), классификациях (MAC) или усмотрении владельца (DAC) и обычно реализуются с помощью policy decision point, который оценивает субъекта, ресурс, действие и окружение, тогда как policy enforcement point контролирует запрос. Современные архитектуры выносят политики во внешние стандарты, такие как области OAuth 2.0 (RFC 6749), утверждения (claims) OpenID Connect, XACML или Rego/Open Policy Agent (OPA), удерживая правила вне кода приложения.
Авторизация — самый подверженный сбоям механизм контроля в вебе. OWASP поставил нарушенный контроль доступа (Broken Access Control) на позицию A01 — риск номер 1 — в своём Top 10 за 2021 год, обнаружив его в 94 % протестированных приложений; эту позицию он сохраняет и в выпуске 2025 года. Классический изъян — это IDOR (Insecure Direct Object Reference): изменение числового id в URL или вызове API для чтения данных другого арендатора. В 2022 году утечка Optus в Австралии раскрыла записи примерно 10 миллионов клиентов через неаутентифицированную перечислимую конечную точку API, а IDOR в Instagram в 2019 году раскрыл приватные публикации и истории.
Более тонкий класс — это confused deputy, когда более привилегированный компонент обманом вынуждают злоупотребить своими полномочиями в интересах злоумышленника; это концептуальный корень CSRF и SSRF. Меры защиты: запрещать по умолчанию, применять авторизацию на стороне сервера при каждом запросе (никогда не доверять клиенту), проверять владение объектом, а не только аутентификацию, предпочитать неугадываемые идентификаторы, журналировать решения о доступе и непрерывно тестировать горизонтальную и вертикальную эскалацию привилегий.
flowchart LR U[Authenticated request] --> PEP[Policy Enforcement Point] PEP --> PDP[Policy Decision Point] CTX[Subject resource action environment] --> PDP POL[(Policy RBAC ABAC Rego)] --> PDP PDP -->|Permit| R[Access resource] PDP -->|Deny| X[403 Forbidden and audit log]
● Примеры
- 01
Предоставление сотруднику поддержки доступа только на чтение к тикетам клиентов, но не к данным биллинга.
- 02
Токены доступа OAuth 2.0, выпущенные с ограниченными областями, например "orders:read".
● Частые вопросы
Что такое Авторизация?
Процесс определения того, что разрешено уже аутентифицированной идентичности: к каким ресурсам, действиям и при каких условиях. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Авторизация?
Процесс определения того, что разрешено уже аутентифицированной идентичности: к каким ресурсам, действиям и при каких условиях.
Как защититься от Авторизация?
Защита от Авторизация обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Авторизация?
Распространённые альтернативные названия: AuthZ, Контроль доступа.