Авторизация

Authorization

access-rights

Авторизация — это процесс проверки прав доступа пользователя к определенным ресурсам или функционалу системы. Авторизация происходит после успешной аутентификации пользователя.

Авторизация является важной составляющей безопасности системы и позволяет разграничить доступные пользователям функции согласно задачам участников.

Один из способов ограничения доступа пользователей к системе — контроль доступа на основе ролей.

Предположим, у вас есть страница в социальных сетях.

  • Как владелец страницы, вы можете публиковать, просматривать, редактировать и удалять контент.
  • Друг может просматривать ваш контент.
  • Гость не имеет доступа к вашему контенту.
  • Модератор имеет право удалить нежелательный контент.

Таким образом у нас появляются действующие лица и операции, которые они могут совершать

Роль

  • владелец
  • друг
  • гость
  • модератор

Действие

  • создать
  • просмотреть
  • редактировать
  • удалить

Эти стандартные действия называют CRUD (Создание, Чтение, Обновление, Удаление) операциями.

В таблице приведен пример разделения доступа к контенту личной страницы пользователя для различных групп пользователей. Такая система разделения прав доступа к ресурсам называется ролевой моделью.

Ресурс Владелец Друг Гость Модератор
/my-page CRUD R RD

Ещё один способ разграничения доступа пользователей к системе — доступ на основе атрибутов.

Атрибуты, на основании которых может регулироваться доступ

  • Атрибуты субъекта: характеристики пользователя, например, роль, возраст
  • Атрибуты действия: операции, которые пользователь может выполнить, например, создание, просмотр, редактирование, удаление (CRUD)
  • Атрибуты объекта: характеристики объекта, к которому осуществляется доступ, например, степень конфиденциальности
  • Атрибуты среды: тип устройства, операционная система, время, местоположение и др.

Разделение доступа к контенту личной страницы пользователя для пользователей с различными атрибутами:

Ресурс Атрибуты Субъекта Атрибуты Действия
/my-page Роль: Владелец Действие: CRUD
/my-page Роль: Друг Действие: R
/my-page Роль: Гость Действие: —
/my-page Роль: Модератор Действие: RD
/my-page Роль: Модератор Действие: RUD

Теперь два модератора имеют доступ к разному набору операций.

Использование ABAC добавляет гибкости при управлении доступом и может комбинироваться с моделью RBAC.

Задача

Важная задача, с которой может столкнуться QA инженер — тестирование соответствия описанной в требованиях и фактически реализованной ролевой модели. При проведении тестирования тестировщик самостоятельно, либо обращаясь к коллегам, изменяет свою роль.

Используйте «Переключатель роли» и изучите, как меняется отображение функций секции «Список записей» для двух разных ролей — обычного пользователя и администратора.



Список записей

Операции по кнопкам не реализованы, работа со списком записей не входит в задачу

Задача доступна премиум пользователям!

ВВЕДЕНИЕ

Тестировщик программного обеспечения
Работа в команде по методологии Scrum
Жизненный цикл программного обеспечения

БАЗОВЫЕ ЗНАНИЯ

Протоколы передачи данных HTTP/HTTPS
Формат передачи данных JSON
Программный интерфейс приложения (API)

УРОВНИ ТЕСТИРОВАНИЯ

Модульное тестирование
Интеграционное тестирование
Системное тестирование

UI ТЕСТИРОВАНИЕ

Элементы интерфейса пользователя
Тестирование верстки
Тестирование доступности

МЕТОДЫ ТЕСТИРОВАНИЯ

Тестирование методом белого ящика
Тестирование методом чёрного ящика
Тестирование методом серого ящика

ТЕСТОВАЯ ДОКУМЕНТАЦИЯ

Чек-лист
Тест-кейс
Баг репорт

АУТЕНТИФИКАЦИЯ И АВТОРИЗАЦИЯ

Аутентификация
Авторизация
JSON Web Token

POSTMAN

Первый запрос
Дополнительные возможности
Большая задача
Авторизация при помощи JWT
Как писать скрипты
Задача на автоматизацию

БАЗЫ ДАННЫХ

База данных
Язык запросов SQL
SELECT запросы
Оператор JOIN
DML команды
NoSQL

АНАЛИЗ РАБОТЫ ПРИЛОЖЕНИЯ

Чтение логов
Мониторинг приложения
Трассировка запросов

ПОДГОТОВКА К СОБЕСЕДОВАНИЮ

Как составить резюме Топ вопросов