Методы аутентификации и авторизации в web-приложениях

20 июля 2012 г.

В Web-приложениях очень часто возникает ситуация, когда одна информация должна быть доступна только определенному кругу лиц или только определенному пользователю. Проблема скрытия информации для возможности доступа к ней только легитимных участников называется аутентификацией и авторизацией.

Методы аутентификации и авторизации в web-приложенияхАутентификация представляет собой процесс проверки того, что пользователь является действительно тем, за кого себя выдает. Обычно в web-приложениях для этого используется пара значений логин/пароль (или email/пароль). При этом считается, что даже если логин общеизвестен, пароль знает только его владелец. Конечно имеются и более надежные методы аутентификации, например, биометрия, при которой в качестве идентификаторов используются уникальные особенности человеческого тела (отпечатки пальцев, радужная оболочка глаза и пр.), но в веб-приложениях они не встречаются ввиду их сложной интеграции.

Авторизация представляет собой процесс определения прав доступа пользователей к тем или иным ресурсам. Это означает, что существует некая структура, определяющая взаимодействие пользователей с разделами веб-приложения. Процедура авторизации обычно сразу же следует за аутентификацией. Примером авторизации может служить запрет доступа к административному разделу сайта для обычных пользователей. 

Ознакомившись с теоретической базой, следует рассказать какие же бывают методы аутентификации и где они используются на практике.

Методы аутентификации

  • Длинный URL

    Это наиболее простой из методов аутентификации. Применяется в основном для процедуры восстановления пароля, как случайно сгенерированная ссылка, отправленная на email пользователя. 

    http://example.com/mail.php?id=af7c7778d7c93123e231

    Предполагается, что длина идентификатора будет непереборно велика и подобрать его случайному пользователю не представляется возможным. 

  • Одиночный пароль

    Более надежная система аутнентификации представляет собой случайно генерируемый одиночный пароль, время действия которого ограничено. Пароль высылается пользоватлею на электронную почту и действует только на один вход. Такой подход может быть использован в качестве входа на сайт.

  • Логин и пароль

    Наиболее часто встечаемая процедура аутентификации на веб-ресурсах представляет собой ввод логина и пароля. Как уже было отмечано ранее, логин может быть известен другим участникам системы, а вот пароль знает только один пользователь. 

    Статья подготовлена по материалам сайта www.securityscripts.ru.

Теги: рубрика Tutorials, Интернет