Перейти на PRO

Что такое аутентификация (Authentication) и какова её роль?

Тип вопроса: Тестирование безопасности Вероятность: 10% Категория: QA Тестировщик

Ответ

Аутентификация (Authentication) — это процесс проверки подлинности субъекта (пользователя, системы или устройства), подтверждающий, что он является тем, за кого себя выдаёт. Её роль — защитить систему, предоставив доступ только легитимным пользователям.

Основные методы:

  1. По знаниям: Пароль, PIN-код.
  2. По владению: Ключ-токен, SMS-код, сертификат.
  3. По свойству: Отпечаток пальца, распознавание лица (биометрия).

Пример простой аутентификации на Python/Flask:

from flask import Flask, request, jsonify

app = Flask(__name__)
users_db = {"alice": "hashed_password_123"}  # На практике пароли хэшируются

@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    username = data.get('username')
    password_input = data.get('password')

    # Проверка подлинности
    stored_password = users_db.get(username)
    if stored_password and verify_password(stored_password, password_input):
        return jsonify({"status": "authenticated", "token": "<JWT>"}), 200
    return jsonify({"error": "Invalid credentials"}), 401  # 401 Unauthorized

Важно отличать от авторизации (Authorization):

  • Authentication: «Кто ты?» — проверка идентичности.
  • Authorization: «Что тебе разрешено?» — проверка прав доступа к ресурсам.

Современные практики: Использование стандартов (OAuth 2.0, OpenID Connect), многофакторная аутентификация (MFA) и бессерверные токены (JWT).

Ответ 18+ 🔞

Ну, слушай, аутентификация — это когда система тебя, как последнего мудака, проверяет, ты ли это на самом деле или какой-нибудь левый пидарас шерстяной. Типа, «эй, ты, предъяви-ка документы, а то я тебе сейчас впендюрю!». Роль у неё простая: не пускать в систему всяких левых распиздяев, которые там начнут творить хуйню.

Как она тебя проверяет, эта сука:

  1. По тому, что ты знаешь: Пароль, пин-код. Ну, типа, «назови девичью фамилию матери» — и если ты её забыл, то пиши пропало.
  2. По тому, что у тебя есть: Токен, смска на телефон, сертификат. «Предъяви пропуск, блядь!» — а ты его дома на тумбочке забыл. Пиздец.
  3. По тому, кто ты есть: Отпечаток, морда лица. Биометрия, ёпта. Самый надёжный способ, потому что палец в другом кармане не оставишь, хотя... хитрые жопы и тут умудряются.

Вот смотри, как это выглядит в коде, на коленке:

from flask import Flask, request, jsonify

app = Flask(__name__)
users_db = {"alice": "hashed_password_123"}  # Пароли, ясен хуй, храним хэшированными, а не в открытую!

@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    username = data.get('username')
    password_input = data.get('password')

    # А вот и сама проверка, ебать её в сраку
    stored_password = users_db.get(username)
    if stored_password and verify_password(stored_password, password_input):
        return jsonify({"status": "authenticated", "token": "<JWT>"}), 200
    return jsonify({"error": "Invalid credentials"}), 401  # 401 — иди нахуй, не узнали

И главное, чувак, не путай с авторизацией, а то сам от себя охуеешь:

  • Аутентификация (Authentication): «Ты кто, блядь?» — установление личности.
  • Авторизация (Authorization): «А нахуя тебе это можно?» — проверка прав. Допустили тебя в здание (аутентификация), а вот зайти в кабинет к директору и срать в его кресло (авторизация) — уже нет, мудак.

Сейчас модно: Использовать всякие OAuth 2.0, делать многофакторку (MFA) — чтобы не только пароль, но и смску запросила, сука. И токены всякие (JWT), которые сами по себе носятся и говорят, кто ты есть. В общем, волнение ебать, но терпения ноль — безопасность же, мать её.

© ХакСобесов, 2026
support@hacksobesov.com