Курс по системной аналитике. Авторизация. Занятие 12

1.

PROMO IT
Курс «Системный аналитик»
Системная аналитика.
Архитектура.
Занятие 12. Авторизация
8 495 404 25 63
[email protected]
promo-z.ru

2.

Начнем с клиентского
пути
Курс «Системный аналитик»
PROMO IT
Идентификация
Аутентификация
Авторизация
[email protected]

3.

Курс «Системный аналитик»
PROMO IT
Идентификация
Цель идентификации – понять, кто “стучится в нашу систему”. Чаще всего для
идентификации используются: имейл, имя пользователя, телефон…
Пример идентификации:
При попытке зарегистрировать новый адрес электронной
почты пользователь вводит свой идентификатор (логин), а
система подсвечивает поле красным и сообщает, что такой
пользователь уже зарегистрирован
[email protected]

4.

Курс «Системный аналитик»
PROMO IT
Аутентификация
Аутентификация – процедура проверки подлинности, например, проверка
подлинности пользователя путем сравнения введенного им пароля с паролем,
сохраненным в базе данных.
Доказательственные
аутентификации
Знание:
-
логин/пароль
пин-код
ковое слово
Владение:
Свойство:
телефон
-
электронная
подпись
-
-
механизмы
[email protected]
отпечаток
пальца
рисунок
радужки

5.

Многофакторная
Аутентификация
Курс «Системный аналитик»
PROMO IT
Многофакторная аутентификация — расширенная аутентификация, метод контроля
доступа к чему-либо в котором пользователю для получения доступа к информации
необходимо предъявить более одного «доказательства механизма аутентификации».
[email protected]

6.

Курс «Системный аналитик»
PROMO IT
Авторизация
Авторизация – это наделение
пользователя определенными правами.
Система авторизовала нас как
определённого пользователя с уже
определенным набором возможностей и
показывает нам информацию, который
должен видеть именно этот определенный
пользователь системы.
[email protected]

7.

Курс «Системный аналитик»
PROMO IT
Роли
Менеджер
Неавторизованный
Тех. поддержка
Клиент
[email protected]

8.

Курс «Системный аналитик»
PROMO IT
Складываем пазл
-
Сначала система запрашивает логин, пользователь его указывает, система
распознает его как существующий — это идентификация.
-
Система просит ввести пароль, пользователь его вводит, и система соглашается,
что пользователь действительно настоящий, ведь пароль совпал, — это
аутентификация.
Система спросит еще и одноразовый код из SMS или приложения. Если
пользователь и его правильно введет, то система окончательно согласится с тем,
что он настоящий владелец аккаунта, — это двухфакторная аутентификация.
-
-
После этого система предоставит пользователю право читать письма в его
почтовом ящике и все остальное — это авторизация.
[email protected]

9.

Клиентский запрос
Курс «Системный аналитик»
PROMO IT
Public запросы
Private запросы
Иду куда хочу,
пою что хочу
Иду НЕ куда хочу,
пою НЕ что хочу
[email protected]

10.

Private запросы
Курс «Системный аналитик»
PROMO IT
HTTP 403 VS HTTP 401
HTTP 403 предоставляет случай ошибки, отличный от HTTP 401
Cервер возвращает HTTP 401, когда клиент не прошел аутентификацию, и
подразумевает, что успешный ответ может быть возвращен после
действительной аутентификации.
HTTP 403 означает, что клиенту не разрешен доступ к ресурсу, несмотря на
предоставление аутентификации.

11.

Private запросы
Authorization types
-
-
OAuth
Basic Auth
Bearer Token
Курс «Системный аналитик»
PROMO IT

12.

Basic Auth
Курс «Системный аналитик»
PROMO IT
Базовая аутентификация включает отправку имени пользователя и пароля вместе с
каждым запросом.
Basic <Base64 encoded username and password>

13.

OAuth/Bearer Token
Курс «Системный аналитик»
PROMO IT
JSON Web Token — это открытый стандарт для создания токенов доступа, основанный
на формате JSON. Как правило, используется для передачи данных для
аутентификации в клиент-серверных приложениях.

14.

JWT
Курс «Системный аналитик»
PROMO IT

15.

JWT (или JSON Web Token) представляет собой веб-стандарт, который определяет способ передачи данных о
пользователе в формате JSON в зашифрованном виде.
JWT-токен состоит из трех частей:
Header - объект JSON, который содержит информацию о типе токена и алгоритме его шифрования
Payload - объект JSON, который содержит данные, нужные для авторизации пользователя
Signature - строка, которая создается с помощью секретного кода, Headera и Payload. Эта строка служит для
верификации токена

16.

JWT
Курс «Системный аналитик»
PROMO IT

17.

Практика!
8 495 404 25 63
[email protected]
Курс «Системный аналитик»
PROMO IT
promo-z.ru

18.

PROMO IT
Курс «Системный аналитик»
Полезные материалы
Различия ИАА http://security.mosmetod.ru/paroli/192-identifikatsiya-autentifikatsiya-iavtorizatsiya-v-chem-raznitsa
Различия ИАА https://htmlacademy.ru/blog/js/authorization-vs-authentification
JWT - https://habr.com/ru/articles/340146/
8 495 404 25 63
[email protected]
promo-z.ru
English     Русский Правила