Авторизация действий в веб-приложениях #

Васильев Андрей Михайлович, 2022

Версии презентации

Идентификация, аутентификация, авторизация #

  • Идентификация — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно определяющий этого субъекта в информационной системе
  • Аутентификация — это процедура проверки подлинности субъекта, например путём сравнения введённого им пароля с паролём, сохранённым в базе данных
  • Авторизация — предоставление субъекту прав на выполнение определённых действий

Что требует авторизации #

Авторизовать необходимо любое действие, которое пользователь может выполнить с приложением:

  • Просмотр данных
  • Редактирование данных
  • Удаление данных
  • Добавление данных

То есть необходимо проверять возможность выполнения любой ПРУД-операции

Когда выполнять авторизацию #

Авторизация во время выполнения конкретного запроса #

Как и в случае с аутентификацией, авторизация должна происходить при каждом отдельном запросе от клиента к серверу

Авторизация в рамках пользовательского интерфейса #

Потенциально можно реализовать две стратегии в организации интерфейса

  • Предоставлять всем пользователям все элементы управления
  • Предоставлять пользователям доступ только для действий, которые они могут выполнить

Для узкоспециализированных систем со сложными подходами к авторизации можно использовать первый подход, но для большинства пользовательских систем следует использовать второй подход

Схемы предоставления прав доступа #

Права доступа всегда относятся к конкретному субъекту, но существует несколько подходов к установлению связи между субъектом и правами

Можно выделить следующие общие подходы предоставления прав доступа:

  • Прямая выдача прав на выполнение операций пользователю
  • Выдача прав роли и ассоциация пользователя с одной ролью
  • Выдача прав группам и включение пользователя в несколько групп

Прямая выдача прав #

В рамках приложения выделяются действия, требующие авторизацию

Затем выполняется выдача прав одним из возможных способов:

  1. Для каждого действия формируется список пользователей, которые могут воспользоваться этой функциональностью.
  2. Для каждого пользователя формируется список действий, которые данный пользователь может выполнить
  • При появлении нового пользователя или нового действия необходимо обновить списки предоставления прав доступа
  • При удалении элементов также необходимо удалить и соответствующие разрешения

Выдача прав доступа ролям #

В рамках приложения выделяется концепция «роли», которая может выполнять разумный связный набор действий внутри предметной области приложения

Использование роли является логичным продолжением использования сценариев использования и пользовательских историй для описания функциональности приложения

  1. Выделяются действия, требующие авторизацию
  2. Для каждой роли определяется возможность выполнения действий

Каждому пользователю системы назначается роль

Выдача прав группам #

Данная схема похожа на схему выдачи прав ролям, однако она более сложная:

  • Каждый пользователь может принадлежать нескольким группам
  • Между группами может быть сложная иерархическая связь, то есть одни группы могут входить в другие группы
  • Потенциально группам можно не только явно разрешать, но и явно запрещать доступ к функциям

Выделения прав в системе #

Права в системе могут быть прописаны либо статически, либо динамически

  • При статической организации трудно поддержать большое количество различных ролей внутри приложения
  • Для поддержки динамического распределения ролей необходимо предоставлять отдельный графический интерфейс, доступ к функциям которого тоже надо авторизовать

Для систем небольшого размера достаточно статического определения прав доступа. Для систем среднего и большего размера необходимо использовать системы динамического распределения прав

Ввиду востребованности и требований обеспечения безопасности системы задачу по выделению прав выносят в отдельную систему с которой взаимодействуют по ряду протоколов: SAML, OpenID Connect и т.д.

OpenID Connect #

Протокол OpenID Connect является расширением протокола OAuth 2.0, предоставляющий слой для идентификации пользователя после авторизации на идентификации провайдера

Протокол поддерживает следующие потоки авторизации:

  • Неявный поток авторизации, подходит для одностраничных приложений
  • Базовый поток авторизации, подходит для серверных приложений
  • Поток предоставления доступа через пароль, для случая отсутствия доступа к веб-браузеру
  • Поток предоставления учётных данных, для авторизации действий машин

Рассмотрим первые два потока, предназначенные для пользовательских приложений

Неявный поток авторизации #

В неявном потоке авторизации у пользователя нет возможности скрыть какие-то данные, так как состояние веб-приложения всегда можно исследовать средствами разработки

sequenceDiagram participant client as Клиент participant provider as Провайдер идентификации client ->> provider: Запрос на аутентификацию с передачей идентификатора клиента provider ->> client: Показывает интерфейс для аутентификации client ->> provider: Выполняет аутентификацию и формирует JWT-токен provider ->> client: Высылает JWT-токен с данными аутентификации и авторизации client ->> client: Проверяет JWT-токен

  • Передача данных осуществляется по зашифрованному соединению, поэтому данный поток безопасен
  • Для привязки ключа используется набор из доменного имени, ключа клиента и асимметричного шифрования на стороне провайдера идентификации

Базовый поток авторизации #

В рамках данного потока взаимодействие провайдера идентификации включает взаимодействие с серверным приложением

sequenceDiagram participant client as Клиент participant provider as Провайдер идентификации participant server as Сервер participant token as Служба токенов participant user as Служба информации client ->> provider : Запрос на аутентификацию с передачей идентификатора клиента provider ->> client : Показ страницы аутентификации client ->> provider : Отправка запроса на авторизацию provider ->> server : Передача кода для получения токенов server ->> token: Получение токенов доступа и JWT-токена server ->> user: Получение дополнительной информации о пользователе server ->> client: Показ авторизованных данных

Процесс аутентификации #

Стоит учитывать, что авторизация возможна только после авторизации

Поток идентификации и аутентификации в веб-приложении

sequenceDiagram participant client as Клиент participant server as Веб-приложение server ->> client : Форма входа в приложение client ->> server : Корректные данные пользователя server ->> server : Создание сессионного токена server ->> client : Передача сессионного токена в куках

Сессионный токен удобно оформить в виде JWT-токена, чтобы уменьшить объём данных, которые надо сохранять на сервере для выполнения авторизации

Выбор подхода к авторизации #

В рамках учебных приложений будем использовать подход с определением ролей

  • Минимальный объём по настройке прав — только указание роли
  • Не требуется создания дополнительного интерфейса для управления ролями

Для распределения ролей будет достаточным отредактировать хранилище напрямую

Графический интерфейс #

  • При создании графического интерфейса доступ к нему должен быть обеспечен только пользователям с ролью «администратор»
  • Для создания первого администратора можно
    • Создать специальную команду по редактированию данных в хранилище
    • Назначить первого созданного пользователя администратором

Поток авторизации #

При выполнении действий и при показе пользовательского интерфейса необходимо проверить разрешения для текущего аутентифицированного пользователя

  • Выполнять запрос на проверку авторизации при каждом запросе
  • Формировать полный список разрешений, который может быть использован внутри слоя обработчиков и внутри уровня представления

При использовании второго подхода можно логику по вычислению списка разрешений делегировать фильтру и сохранять их в контекст обработчика

flowchart LR request["Запрос"] user["Фильтр аутентификации"] auth["Фильтр авторизации"] handler["Обработчик запроса"] request --> user --> auth --> handler

Реализация ролей #

Внутри приложения для реализации ролей можно использовать следующий подход:

  • Сформировать список действий, для которых необходимо обеспечить авторизацию.
  • Сформировать класс с полями для сохранения логических значений, которые показывают разрешено или запрещено данное действие.
  • Создать объекты данного класса, содержащие корректные поля для каждой роли. Данные объекты лучше сделать константными внутри контекста приложения.
data class RolePermissions(
    val listEntries: Boolean,
    val showEntry: Boolean,
    val addEntry: Boolean,
    val editEntry: Boolean,
    val deleteEntry: Boolean,
)

val AnonymousRole = RolePermissions(
    listEntries = true,
    showEntry = true,
    addEntry = false,
    editEntry = false,
    deleteEntry = false,
)

val GenericUser = AnonymousRole.copy(
    addEntry = true,
)

val Administrator = GenericUser.copy(
    editEntry = true,
    deleteEntry = true,
)

Фактор владения данными #

Представленная схема обеспечивает доступ ко всем функциям «по умолчанию», то есть обычный пользователь не может удалять или редактировать записи

Значимым исключением из данной практики является фактор владения объектом. Если пользователь является владельцем, то он может выполнять расширенный набор действий

Для определения права владения:

  • Необходимо получить запрашиваемый объект
  • Сопоставить аутентифицированного пользователя и объект, выявить факт владения
  • Использовать информацию о базовых разрешениях и факторе владения

Проверку на владение можно проводить исключительно на уровне обработчика

Процедура редактирования данных #

sequenceDiagram participant client as Клиент participant server as Веб-приложение client ->> server : GET-запрос на редактирование alt Пользователь авторизован на выполнение действий server ->> client : HTML-документ с формой, заполненной данными else server ->> client : Ответ с кодом 403, доступ запрещён end client ->> client : Заполнение формы client ->> server : POST-запрос (PUT) с данными формы alt Данные формы верны server ->> client : Перенаправление на страницу ресурса else server ->> client : Отображение формы с данными и с сообщением об ошибке end opt Пользователь не авторизован server ->> client : Ответ с кодом 403, доступ запрещён end

Процедура удаления данных #

sequenceDiagram participant client as Клиент participant server as Веб-приложение client ->> server : GET-запрос на удаление элемента alt Пользователь авторизован на выполнение действия server ->> client : HTML-документ с формой подтверждения удаления else server ->> client : Ответ с кодом 403, доступ запрещён end client ->> server : POST-запрос (DELETE) alt Пользователь авторизован на выполнение действия server ->> client : Перенаправление на страницу списка else server ->> client : Ответ с кодом 403, доступ запрещён end