Контроль доступа определяет, какие ресурсы и действия доступны пользователю в зависимости от его прав или роли в системе.
Процесс начинается с аутентификации, которая удостоверяет личность пользователя, и продолжается авторизацией — проверкой, имеет ли пользователь право выполнить то или иное действие.
Существуют разные модели контроля доступа. Разберем самые распространенные: ролевую (RBAC) и атрибутную (ABAC) модели.
Один из способов ограничения доступа пользователей к системе — контроль доступа на основе ролей.
Предположим, у вас есть страница в социальных сетях.
Как владелец страницы, вы можете публиковать, просматривать, редактировать и удалять контент.
Друг может просматривать ваш контент.
Гость не имеет доступа к вашему контенту.
Модератор может просматривать и удалять нежелательный контент.
Таким образом появляются действующие лица и операции, которые они могут совершать:
Роли
Действия
Эти стандартные действия называют CRUD (Create, Read, Update, Delete) операциями.
В таблице приведен пример разделения доступа к контенту личной страницы пользователя для различных групп пользователей. Такая система разделения прав доступа к ресурсам называется ролевой моделью.
| Ресурс | Владелец | Друг | Гость | Модератор |
|---|---|---|---|---|
| /my-page | CRUD | R | — | RD |
Ещё один подход к разграничению доступа пользователей к системе — контроль доступа на основе атрибутов.
Атрибуты субъекта — характеристики пользователя, влияющие на доступ
Атрибуты действия — операции, которые пользователь может выполнить
Атрибуты объекта — свойства объекта, к которому осуществляется доступ
Атрибуты среды — контекст, в котором происходит доступ
Разделение доступа к контенту личной страницы пользователя для пользователей с различными атрибутами:
| Ресурс | Атрибуты Субъекта | Атрибуты Действия |
|---|---|---|
| /my-page | Роль: Владелец | Действие: CRUD |
| /my-page | Роль: Друг | Действие: R |
| /my-page | Роль: Гость | Действие: — |
| /my-page | Роль: Модератор | Действие: RD |
| /my-page | Роль: Модератор | Действие: RUD |
Теперь два модератора имеют доступ к разному набору операций.
Использование ABAC добавляет гибкости при управлении доступом и может комбинироваться с моделью RBAC.
Важная задача, с которой может столкнуться QA инженер — тестирование соответствия описанной в требованиях и фактически реализованной ролевой модели.
Требования к ролевой модели секции «Список записей».
| Секция | Пользователь | Аналитик | Администратор |
|---|---|---|---|
| Список записей | CRU | R | CRUD |
При проведении тестирования тестировщик самостоятельно, либо обращаясь к коллегам, изменяет свою роль. Используйте «Переключатель роли» и найдите несоответствия реализации ролевой модели секции «Список записей» требованиям.
Уровень повышен!
