Для чего нужна авторизация на сайте
Авторизация
Что такое авторизация?
Каждый сталкивался с необходимостью пройти авторизацию, будь это в сервисной почте, ICQ, в социальной сети или на форуме. Для этого достаточно лишь ввести правильный логин и пароль, после чего будут доступны какие-либо возможности – например, доступ к контенту, возможность общаться и писать комментарии или ответы в форумах, блогах и т.д.
Итак, авторизация – это процедура подтверждения прав на что-либо (общение, контент и т.д.). Как правило, эти права получить несложно – достаточно пройти регистрацию, однако есть и много исключений, когда авторизоваться могут только некоторые пользователи.
Во время регистрации пользователь указывает логин, пароль и электронную почту. Пароль может быть сгенерирован автоматически и выслан на почту. Эти три элемента являются обязательными и используются на любом сайте. Кроме них администратор ресурса имеет право заставить пользователя указать и другие данные, например, пол, возраст, реальное имя и т.д. Это может быть необходимо по разным причинам.
После регистрации пользователь может авторизоваться на сайте и воспользоваться какими-либо дополнительными возможностями. В социальной сети – это возможность общаться, искать и заглядывать в профили других людей, на «варезном» сайте – скачать интересующую программу, а в интернет-магазине – заказать какой-либо товар.
Авторизация идентифицирует человека, позволяет администратору или другим пользователям опознать собеседника или клиента.
Зачем нужна авторизация?
Как Вы уже поняли, авторизация позволяет опознать посетителя сайта и одновременно ограничить права доступа к определенным его ресурсам и возможностям неавторизованным пользователям. И у Вас, как у владельца сайта и такого же пользователя Интернета, могут возникнуть сомнения.
Зачем ограничить доступ с помощью авторизации? Не проще ли открыть возможности всем посетителям? Ведь известно, что они не любят лишних процедур, даже если регистрация и авторизация занимает пару минут. Да и куда удобнее это, а удобство для пользователя – основа юзабилити.
Конечно, хорошо бы полностью избавиться от подобных мер. Однако только авторизация может частично оградить владельца ресурса и его посетителей от спама. Его рассылают специальные программы – спам-боты, которые автоматически заполняют комментариями с рекламой и ссылками любые места, где возможно добавить комментарий. Оградиться от них можно разными способами, и авторизация является наиболее эффективным из них.
Другая, не менее важная, цель авторизации – это получение необходимой информации о человеке, его идентификация. Естественно, эту информацию пользователь предоставляет добровольно, и используется она исключительно в целях распознавания другими посетителями. Если речь идет об интернет-магазине, авторизация значительно улучшает юзабилити сайта. У пользователя появляется личная страничка с историей заказов, в корзине могут храниться добавленные раньше товары, а форму заказа ему заполнять уже не нужно.
Конечно, у авторизации есть много других функций и задач, но эти две являются наиболее важными.
Плюсы авторизации.
Преимущества владельцу сайта:
1) Фильтрация спама (авторизация является тем фильтром, в котором отсеивается большая часть спам-ботов);
2) Возможность распознать посетителя, что в свою очередь дает:
— Более подробную демографическую, географическую и иную информацию о посетителях, благодаря чему можно лучше настроить фильтры в системе контекстной рекламы и подобрать наиболее оптимальные ключевые слова при раскрутке сайта;
— Возможность предоставить больше услуг и возможностей (например, дополнительные функции в виде личной внутренней почты, сохранения истории заказов и т.п.), что позволяет улучшать юзабилити, привлекая больше постоянных посетителей.
3) Ограничение прав пользования тем или иным контентом. Если для некоммерческого сайта это некритично, то для ресурса, где контент или какие-либо услуги предоставляются за деньги, авторизация просто необходима.
Преимущества пользователю Интернета:
1) Возможность оградить себя от спама. На ресурсах, где есть авторизация, куда меньше спам-роботов и людей, зарабатывающих на спаме и рекламе.
2) Возможность встретить знакомого собеседника снова. Для того, чтобы распознать друг друга, пользователям не нужно представляться каждый раз заново, достаточно пройти авторизацию.
3) Дополнительные возможности: даже на форуме пользователи могут заполнять свои профили, загружать фотографии и другие файлы, поднимать друг другу репутацию и т.д. В интернет-магазинах и на других коммерческих ресурсах возможностей еще больше.
Никто (почти) не знает, что такое авторизация
За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или, как минимум, не оптимально. Причиной, на мой взгляд, является низкое внимание и заказчика и разработчиков к данному аспекту на начальных этапах и недостаточная оценка влияния требований. Это косвенно подтверждает повсеместное неправильное использование термина: когда я вижу словосочетание «двухфакторная авторизация», у меня начинаются боли чуть ниже спины. Ради интереса мы проанализировали первые 100 статей на Хабре в выдаче по запросу «авторизация», результат получился неутешительный, боли было много:
В более чем 80% случаев термин употребляется неверно, вместо него следовало бы использовать слово «аутентификация». Далее я попытаюсь объяснить что это такое, и почему крайне важно уделить особое внимание этой теме.
Что же это такое?
Авториза́ция (англ. authorization «разрешение; уполномочивание») — предоставление определенному лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.
С точки зрения любой информационной системы это процесс принятия решения о предоставлении доступа субъекту на выполнение операции на основании каких-либо знаний о субъекте. К этому моменту субъект, как правило, уже должен быть идентифицирован (мы должны знать, кто он) и аутентифицирован (подтверждена его идентичность).
Реализация авторизации при разработке корпоративной информационной системы или продукта, ориентированного на корпоративный сектор — очень сложная и ответственная задача, которой часто уделяется недостаточное внимание на этапе проектирования и первичном этапе разработки, что в будущем ведет к «костыльной» реализации.
Проблематика
Давайте разберемся, какие требования к авторизации встречаются, и почему их крайне важно учитывать изначально при проектировании системы, а не откладывать на будущее. Источников требований к авторизации в корпоративной информационной системе, как правило, два — это бизнес и информационная безопасность. В общем случае бизнес хочет хранить секреты в тайне и предоставлять полномочия пользователям в соответствии с их функцией в бизнес-процессе, а безопасность хочет обеспечить минимальную достаточность полномочий каждому пользователю и аудировать доступ.
Возьмем для примера гипотетическую систему согласования договоров крупной компании, типовой кровавый энтерпрайз. Практически наверняка возникнут следующие требования к авторизации от бизнеса:
Итак, обозначим, почему эти требования проблемные:
Пути решения
Решить данную задачу нам помогают разработанные модели управления доступом:
MAC — мандатная модель управления доступом. Доступ субъекта к объекту определяется его уровнем доступа: уровень доступа субъекта должен быть не ниже уровня секретности объекта.
DAC — прямое управление доступом. Доступ субъекта к объекту определяется наличием субъекта в списке доступа (ACL) объекта.
RBAC — ролевая модель управления доступом. Доступ субъекта к объекту определяется наличием у субъекта роли, содержащей полномочия, соответствующие запрашиваемому доступу.
АВАС — атрибутивная модель управления доступом. Доступ субъекта к объекту определяется динамически на основании анализа политик учитывающих значения атрибутов субъекта, объекта и окружения. Сюда же относятся PBAC, RAdAC, CBAC, с некоторыми нюансами (шикарный обзор от CUSTIS).
Их крайне рекомендуется использовать в первозданном виде, не изобретая велосипед. Достаточно часто в сложных информационных системах используется комбинация моделей. Например, популярна комбинация ACL + RBAC, когда роль включается в список доступа. Однако, правильное применение готовых моделей — тоже не простая задача. Не всем удается правильно выбрать модель, отделить ее от бизнес-логики и достичь приемлемой производительности механизма авторизации.
Для реализации озвученных выше в разделе «Проблематика» требований, на первый взгляд, я бы выбрал комбинацию PBAC + ACL. Требования могли бы быть реализованы следующим образом:
| Требование от бизнеса | Решение | |
|---|---|---|
| 1 | Пользователь, не имеющий отношения к конкретному договору, не должен его видеть в системе | Тут напрашивается ACL, поскольку определить отношение пользователя к бизнес-процессу достаточно сложно, не записывая его в какой-то список в момент вовлечения. Это будет оптимальным решением с точки зрения производительности чтения относительно реализации с помощью политик. |
| 2 | Автор договора должен видеть его на всех этапах | Требование может быть реализовано обоими механизмами, но оптимальным я считаю ACL, поскольку в этом случае будет проще реализовать требование №3 от ИБ. |
| 3 | Создавать договор имеет право пользователь с грейдом не ниже 10 | Это политика (PBAC), без вариантов |
| 4 | Визирующий должен видеть договор начиная с поступления к нему на этап и далее | ACL будет оптимален |
| 5 | Руководители подразделений должны видеть договоры своих подразделений вниз по иерархии | Замечательная задача для PBAC, но его применение может снизить производительность чтения, а требования 1 и 2 от ИБ потребуют дополнительных усилий, поэтому стоит подумать над реализацией. |
| 6 | Автор договора и руководитель подразделения имеют право отозвать договор на любом этапе согласования | PBAC справится отлично |
| 7 | Руководство и секретариат головного офиса должны видеть документы всех филиалов | PBAC, с теми же ограничениями что и в п. 5 |
| 8 | Пользователь, создавший договор, не должен иметь права его завизировать | Это требование можно было бы закрыть с помощью PBAC, однако так делать не стоит. Это то самое место, где авторизация вступает в конфликт с бизнес-логикой, и если происходит такая ситуация, ответственность стоит отдать бизнес-логике. |
| Требование от ИБ | Решение | |
|---|---|---|
| 1 | Знать, кто имеет доступ к конкретному договору | Общий журнал для ACL и PBAC |
| 2 | Знать, кто имел доступ к конкретному договору в заданный момент времени | Общий журнал для ACL и PBAC |
| 3 | Лишать пользователя доступа к ранее доступным документам при изменении его должностных обязанностей | ACL |
Итого
Авторизация — незаслуженно обойденная вниманием тема, как в публикациях, так и непосредственно в процессе разработки. Двухфакторную аутентификацию по СМС к сайту прикрутит и ребенок. Правильно реализовать авторизацию в корпоративной системе, не наделав костылей — сложнейшая задача, о которую ломают копья сеньоры и архитекторы, а множество популярных коммерческих продуктов (к примеру, Atlassian Jira) стоят на костылях благодаря сложности требований.
Мы планируем серию статей, посвященных моделям авторизации и предмету в целом. Будем рады вопросам и предложениям по темам для рассмотрения.
Авторизация: что это такое и для чего нужно?
Несмотря на то, что интернетом пользуется огромное количество людей по всему миру, ежедневно многие пользователи только начинают познавать этот виртуальный мир. Пользователи часто сталкиваются с определениями, которые они прежде не слышали. Вот, к примеру, авторизация — что это такое?
Авторизация (от английского слова authorization, что можно перевести как «разрешение») — это предоставление прав пользователю или группе лиц на выполнение тех или иных действий. Не поняли? Допустим, вы прошли регистрацию в Яндекс.Почте. Для того, чтобы попасть в свой электронный почтовый ящик, вам необходимо пройти авторизацию, то есть в данном случае ввести логин и пароль, который вы указали при регистрации.
Вот как выглядит поле для ввода данных Яндекс.Почты:
Соответственно, как только вы введете логин и пароль, система распознает пользователя и предоставит доступ к почте, а кроме того, доступ к другим сервисам компании Яндекса.
Разумеется, с авторизацией вы можете встретиться и на многих других сайтах. Взять тот же Сбербанк Онлайн: чтобы попасть в личный кабинет, нужно ввести логин и пароль.
При этом в случае со Сбербанком Онлайн используется так называется двухфакторная авторизация: помимо ввода логина и пароля пользователю необходимо ввести дополнительный код, который приходит к нему на телефон в виде СМС-сообщения. Это сделано для дополнительной безопасности. Только после ввода кода можно войти в личный кабинет.
Авторизацию в социальных сетях вы наверняка прекрасно знаете. Вот пример на основе ВКонтакте:
Есть другой вид авторизации, тоже, кстати, в банковской сфере. Допустим, вы оплачиваете покупку в интернете. Лимит на покупку товаров без авторизации — 2000 рублей. Вы же покупаете товар за 3000 рублей. Без авторизации в этом случае вы не сможете оплатить товар: для этого обычно необходим либо пароль, который вы сами же создаете, либо код, который придет в сообщении на телефон.
Важно также отметить, что не во всех случаях пользователь сам может зарегистрироваться на сервисе и получить данные для авторизации. Есть такие сервисы, где регистрация возможна только в определенном учреждении, в котором пользователь получает данные для доступа (авторизации).
Что такое данные авторизации?
Обычно данными авторизации являются логин и пароль, но не всегда. Зачастую это может быть фамилия или имя пользователя, а также пароль. Бывает так, что пользователь знает только логин для входа в систему, а пароль приходит ему в СМС-сообщении.
Чаще всего пользователь сам вправе менять свои данные авторизации, однако логин в некоторых случаях изменить невозможно. Например, если говорить о почтовых сервисах, логин изменить не получится, а вот пароль — пожалуйста.
Какие плюсы у авторизации?
Это зависит от сервиса. Если брать те же банковские услуги, то большинство услуг пользователю доступны только после регистрации в сервисе и получении данных для авторизации.
Если говорить про обычные сайты, зачастую авторизация предлагает возможность получения большего количества функций. Кроме того, на тех же форумах нельзя общаться без авторизации. Кстати, сейчас можно использовать аккаунты социальных сетей для регистрации и последующей авторизации во многих сервисах. Это удобно, поскольку не требует дополнительных действий.
Уважаемые пользователи! Если наш сайт вам помог или что-то в нем не понравилось, будем рады, если вы оставите комментарий. Заранее большое спасибо.
Авторизация — что это такое?
Что такое авторизация?
Люди часто сталкиваются с необходимостью авторизации на большинстве различных сайтов. Это процедура, как правило, бесплатная. Но бывают сайты, на которых предоставляются платные услуги. Например, это могут быть онлайн кинотеатры. Пользователь должен оплатить подписку, чтобы получить доступ к платному контенту.
Перед авторизацией пользователю необходимо выполнить регистрацию, заполнив на сайте небольшую анкету и указать необходимую информацию о себе. Затем на сайте создается учетная запись с логином и паролем, которые подбирает сам пользователь. Только после этого человек получает доступ к контенту на данном ресурсе.
Логин (с англ. вход в систему) – это имя, которое используется для входа на сайт. Пользователь придумывает его сам. При этом логины разных пользователей не могут повторяться, иначе нельзя будет пройти авторизацию.
Пароль – это некая последовательность цифр, букв или символов. Пользователь также сам устанавливает пароль. Но может быть и автоматическая генерация пароля с возможностью изменить его в дальнейшем.
Пароль нужен для защиты учетной записи от других пользователей, чтобы только один человек мог войти в одну запись. Введя пароль, человек подтверждает, что он является владельцем учетной записи. При регистрации рекомендуется придумать более сложный пароль, чтобы злоумышленникам было сложнее его подобрать. Автоматический подбор пароля позволяет быстро получить максимально безопасный (то есть сложный) пароль.
Процесс авторизации
Пользователям каждый день приходится авторизоваться на разных сайтах, сервисах и в приложениях. Это может быть что угодно: социальные сети, личный кабинет в банке или коммунальной компании, форум, сайт магазина, сайт знакомств и прочее.
Благодаря авторизации человек может получить некоторые привилегии по сравнению с теми, кто на этом же ресурсе не зарегистрирован.
Например, при авторизации в социальной сети человек может отправлять сообщения другим пользователям, просматривать фотографии и загружать свои, писать посты, смотреть видеоролики и т.д.
В интернет-магазине человек может получить доступ к закрытым распродажам только для зарегистрированных пользователей или информацию о скидках. Пользователь может указать свой адрес и даже реквизиты банковской карты, чтобы автоматически списывалась оплата за покупки и товар отправлялся по нужному адресу. Это поможет экономить время, так как эту информацию не придется постоянно вводить.
Зачем нужна авторизация?
При регистрации на сайте пользователь вводит определенную информацию о себе. Таким образом, данные попадают к владельцам этого ресурса. Они получают информацию о человеке, и могут наложить определенные ограничения при пользовании ресурсом. Так организована работа по использованию контента.
Но почему бы не обойтись без авторизации? Часто очень раздражает необходимость заполнять анкеты, вводить о себе информацию. Может быть было бы гораздо проще обойтись без этого всего? Особенно, если пользователи часто забывают логины и пароли для входа. Учетных записей на разных сайтах у одного человека может быть не один десяток.
Но без авторизации бывает просто невозможно обойтись. Иначе сайты бы наводнили пользователи, которые могут принести ресурсу только вред, захламив его спамом. Бывают так называемые «боты», которые засоряют ресурсы текстовым или медиа спамом (сообщениями, фотографиями, видео). Авторизация помогает отличить заинтересованного пользователя от такого бота.
Пользователи вводят информацию при регистрации добровольно. Ресурс, на котором происходит регистрация, берет на себя ответственность за сохранность персональных данных пользователей, чтобы никто не узнал имя, контактные данные, не получил скрытые фотографии.
Авторизация имеет слишком много преимуществ, чтобы от нее отказываться:
Что такое авторизация
Понятие авторизации простыми словами
Вы никогда не задумывались над тем, что такое авторизация и для чего она нужна? Потому что в современном мире, это понятие встречается всё чаще.
Авторизация присутствует на большинстве современных сайтов, и она полностью бесплатная для пользователей. Но в то же время, встречаются и отдельные, платные сервисы, требующие от пользователя некоторую сумму денег для проведения авторизации с доступом к платному контенту.
Это относительно новый тренд, который появился вместе с доступом к высокоскоростному, беспрерывному интернету. Перед тем, как пользователь может совершить авторизацию, ему нужно заполнить определённую анкету с указанием некоторой информации относительно своей личности.
Это важно для создания домена с оригинальным логином и паролем, которые человек будет использовать при входе на ресурс.
Стоит сказать несколько слов о том, что такое логин и пароль. Логин – это своего рода уникальное наименование, которое пользователь сам придумывает для себя, чтобы получить доступ к сайту. Он обязательно должен быть уникальным, иначе авторизоваться на сайте будет невозможно.
Касательно пароля, всё несколько проще. Это кодовое слово, состоящее из разной последовательности разных символов. В пароль входят, как буквы верхнего и нижнего регистра, так и цифры.
С помощью пароля, человек может подтвердить, что именно он является владельцем страницы, на которую был зарегистрирован тот или иной логин. Поэтому нужда в пароле объясняется целями безопасности.
Поэтому многие сайты сначала рекомендуют пользователю хорошо подумать и взять себе максимально оригинальный, сложный пароль. При желании, если с фантазией у пользователя туго, можно воспользоваться специальными генераторами пароля.
Благодаря которым появляется возможность получить максимально безопасный пароль, приложив при этом минимальное количество усилий.
Что собой представляет сам процесс авторизации?
Авторизация на данный момент является самой важной функцией, присутствующей на современных сайтах. Пользователи интернета сталкиваются с данной функцией на ежедневной основе.
При том на каждом возможном сайте. Это может быть какой угодно ресурс, социальная сеть, форум, интернет-магазин, сайт банка или любой другой веб-сайт. На нём в той или иной степени присутствует авторизация.
Благодаря регистрации на веб-сайте, человек автоматически получает некоторые привилегии по сравнению с обычными пользователями.
В случае тех же социальных сетей – это возможность видеть других пользователей, отправлять им сообщения, просматривать фотографии и так далее.
В интернет-магазинах, после регистрации появляется возможность совершать покупки. Потому что в процессе создания своей учётной записи, пользователь самостоятельно уже указывает по какому адресу ему нужно доставлять товар и на какое имя его оформлять.
Почему вообще происходит регистрация пользователя на сайте?
Вы наверняка не раз задавались вопросом о том, зачем вообще нужна регистрация на современных сайтах. Но на самом деле всё просто – при помощи регистрации пользователя на ресурсе, можно получить о нём некоторую информацию, а также наложить определённые ограничения.
Тем самым можно организовать работу определённых сервисов, которые позволяют людям упростить жизнь.
Но зачем создавать нужду в авторизации и искусственным образом ограничивать функции, которые пользователь мог и так получить?
Потому что было бы гораздо проще, если бы пользователь мог просто зайти на ресурс и сразу же использовал всё, что на нём представлено.
Ведь регистрация процедура хоть и лёгкая, но отнимает некоторое время. Особенно если говорить о случаях, когда пользователи забывают собственные пароли и начинают восстанавливать их при помощи электронной почты.
Однако есть причина, по которой обойтись без авторизации просто невозможно. Это в первую очередь мера предосторожности от спама. Потому что на ресурс могут обрушиваться пользователи, желающие причинить лишь только вред.
От того они активно начинают засорять ресурс различным текстовым хламом. С помощью элементарной регистрации удаётся избавиться от этих, так называемых, ботов. К тому же, авторизация, это своего рода процесс идентификации.
Информацию от вас никто не требует. Вы сами вводите её добровольно. Но при этом сайты берут на себя ответственность за сохранность предоставленных вами данных. Они постараются приложить максимум усилий, чтобы никто и ни при каких условиях не смог узнать ваше имя, почтовый адрес и многое другое.
Таким образом можно выделить огромное количество преимуществ авторизации, которые позволяют ей оставаться важным элементом любого современного веб-сайта: