Авторизация — это процесс проверки прав доступа пользователя к определенным ресурсам или функционалу системы. Авторизация происходит после успешной аутентификации пользователя.
Авторизация является важной составляющей безопасности системы и позволяет разграничить доступные пользователям функции согласно задачам участников.
Пользователь отправляет данные для входа, сервер проверяет пользователя в несколько этапов:
Идентификация
Сервер проверяет, существует ли пользователь с таким идентификатором (например, логином) в базе данных
401 Unauthorized — если пользователь не найден
Объектом авторизации может выступать целый ресурс, конкретное действие над ресурсом или часть ресурса:
Ресурс
Доступ к конкретному объекту — проекту, задаче, курсу, заявке.
Операция
Можно ли выполнять определённые действия над ресурсом:
Часть данных
Один и тот же объект может отображаться по-разному:
Важно помнить, что доступ должен быть ограничен не только сокрытием функций в интерфейсе, но и на уровне API.
Уровень повышен!
