Аутентификация

Authentication

Аутентификация — это процесс проверки подлинности учётных данных пользователя, таких как имя пользователя и пароль, для подтверждения того, что пользователь является тем, за кого себя выдаёт. Аутентификация позволяет защитить данные от несанкционированного доступа.

Наиболее распространены методы аутентификации при помощи:

логина и пароля
биометрических данных (отпечаток пальцев, распознавание лица)
токенов и сертификатов

Как обеспечить безопасность?

Со стороны пользователя

Надёжный пароль: рекомендуется использовать комбинацию букв, цифр и символов.

Обновление паролей: изменение паролей хотя бы раз в несколько месяцев.

Обновление ПО: своевременная установка обновлений, исправляющих уязвимости.

Со стороны приложения

Мультифакторная аутентификация: дополнительные проверки, например, отправка кода на телефон.

Хранение паролей: использование надёжных алгоритмов шифрования данных.

Обновление ПО: своевременная установка обновлений, исправляющих уязвимости.

Как происходит HTTP-запрос на аутентификацию?

Когда мы заполняем логин/пароль и нажимаем на кнопку «Войти», отправляется HTTP-запрос, например:

HTTP метод POST

URL адрес https://tester-today.com/login

Заголовок Content-Type: application/json

Тело запроса { "username": "login", "password": "pass" }

При успешной аутентификации сервер отправляет HTTP-ответ с кодом 200 OK

Если данные от клиента не совпадают с данными на сервере, сервер вернёт HTTP-ответ с кодом 401 Unauthorized

Почему нельзя использовать GET запрос при аутентификации?

При использовании метода GET данные обычно передают прямо в адресной строке.

🔒 https://www.example.com/login?username=login&password=pass

Такой формат передачи может привести к утечке из-за:

отображения данных пользователя в адресной строке браузера;
пользователь может создать закладку, что приведёт к сохранению данных;
браузер может кэшировать (временно сохранять) страницы, запрашиваемые с методом GET;
браузер сохраняет историю запросов, в которой доступен просмотр запрашиваемых URL.

Для передачи логина и пароля рекомендуется использовать HTTP-метод POST.

Заголовок Authorization

Помимо аутентификации через форму, при которой данные передаются в теле запроса, данные могут передаваться в HTTP-заголовке Authorization . Часто это происходит незаметно для пользователя — клиентская библиотека делает всё автоматически.

Заголовок Authorization поддерживает разные схемы аутентификации:

Bearer

Клиент получает токен после входа в систему и передаёт его с каждым запросом.

Authorization: Bearer <токен>

Basic

Логин и пароль кодируются в формате Base64. Данные можно легко декодировать.

Authorization: Basic YWRtaW46cGFzc3dvcmQ=

API Key

Клиент передаёт уникальный ключ. Может передаваться в любом заголовке или как параметр запроса.

X-API-Key: 123456789abcdef

Задача

Задача доступна премиум пользователям!

Открой доступ, чтобы заниматься без ограничений.

Полный доступ ко всем практическим задачам

Проверка ответов

Неограниченное количество попыток