Перейти на PRO

Какие основные виды авторизации в информационных системах?

Тип вопроса: Тестирование безопасности Вероятность: 10% Категория: QA Тестировщик

Ответ

Основные виды авторизации:

  1. Basic Authentication

    • Простейший метод, где учетные данные передаются в заголовке Authorization в кодировке Base64.
    • Пример заголовка: 
      Authorization: Basic dXNlcjpwYXNz
    • Почему это важно: Крайне небезопасен без HTTPS, так как логин и пароль легко декодируются.

  2. Token-based (JWT)

    • Сервер выдает токен после успешной аутентификации. Клиент отправляет его в заголовке Authorization: Bearer <token>.
    • Почему это важно: Позволяет создавать stateless-приложения, так как токен самодостаточен и содержит всю необходимую информацию (claims).

  3. OAuth 2.0

    • Протокол делегированного доступа. Пользователь разрешает приложению доступ к своим ресурсам на стороннем сервисе (например, Google, GitHub).
    • Ключевые компоненты: access_token (для доступа к API) и refresh_token (для обновления access token'а).
    • Почему это важно: Стандарт для интеграции с внешними API, не требует передачи пароля пользователя вашему приложению.

  4. API Keys

    • Статичный секретный ключ, передаваемый в заголовке запроса или как параметр URL.
    • Пример: 
      X-API-Key: 12345abcde
    • Почему это важно: Простой метод для аутентификации сервисов или машин, но требует надежной защиты ключа.

  5. Session-based (Cookie-based)

    • После входа сервер создает сессию и отправляет её идентификатор (Session ID) клиенту в cookie.
    • Пример ответа сервера: 
      Set-Cookie: sessionId=abc123; HttpOnly; Secure; SameSite=Strict
    • Почему это важно: Традиционный подход для веб-приложений. Состояние хранится на сервере, что требует управления сессиями.

  6. SSO (Single Sign-On)

    • Пользователь аутентифицируется один раз в центральной системе (провайдере идентификации, например, Active Directory, Keycloak) и получает доступ ко всем связанным приложениям.
    • Почему это важно: Улучшает пользовательский опыт и безопасность за счет централизованного управления доступом.

  7. Biometric Auth

    • Использование биометрических данных (отпечаток пальца, Face ID) для подтверждения личности.
    • Почему это важно: Обеспечивает высокий уровень удобства и безопасности на пользовательских устройствах.

Практический выбор:

  • Для REST API чаще используют JWT или OAuth 2.0.
  • Для традиционных веб-приложенийсессии или SSO.
  • Basic Auth и API Keys подходят для внутренних или простых сервисов, но требуют обязательного использования HTTPS.

Ответ 18+ 🔞

А, ну вот, опять про эти ваши авторизации, блядь. Сидишь такой, пишешь свой API, а тут тебе на голову сваливается овердохуища способов доказать, что ты — это ты. Ну, давай разберёмся, что тут у нас есть, а то голова уже ебётся.

1. Бейсик, он же Basic Auth — дедушка простой, до безобразия. Представь, что ты пишешь на бумажке «логин:пароль» и суёшь её в конверт, но конверт-то прозрачный, ёпта! На деле это кодировка Base64 в заголовке. Выглядит умно, а на деле — dXNlcjpwYXNz расшифровывается за секунду любым школьником.

Authorization: Basic dXNlcjpwYXNz

В чём соль: если нет HTTPS — это просто пиздец, а не защита. Все твои пароли летят по воздуху, как голые зайцы. Использовать можно только внутри защищённой сети, либо если ты совсем, блядь, отчаялся.

2. Токены, они же JWT — модная нынче фишка. Ты залогинился, сервер тебе выдаёт бумажку (токен), и ты с ней потом ходишь, как с пропуском. В заголовке тащишь её с почестями:

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

В чём соль: токен самодостаточен, в нём внутри зашиты данные (claims), и серверу не нужно дергать базу каждый раз — проверил подпись и всё, свободен. Stateless, блядь, красота! Но если токен утек — пиши пропало, отозвать его херовины, только ждать, когда протухнет.

3. OAuth 2.0 — это когда ты доверяешь большому дяде. Хочешь зайти через Гугл или Гитхаб? Вот это оно. Пользователь говорит: «Да, разрешаю этому приложению смотреть мои фотки/репозитории». В ответ получаешь access_token (чтобы лазать по API) и refresh_token (чтобы не просить пользователя заново, когда первый токен сдохнет). В чём соль: пароль пользователя ты не видишь вообще, и это, блядь, правильно. Стандарт де-факто для интеграций, но реализация — это отдельная песня, там столько граблей, что волосы дыбом.

4. API Keys — ключик на брелоке. Просто длинная строка, которую ты вставляешь в заголовок или в URL.

X-API-Key: 12345abcde

В чём соль: просто до безобразия, идеально для сервис-сервисного общения. Но если этот ключ утечёт — всё, твой API теперь публичный туалет. Хранить его нужно так, будто это последняя печенька в доме.

5. Сессии, они же Cookie-based — классика жанра для веба. Залогинился, сервер тебе в печеньку (Cookie) кладёт sessionId, а у себя в памяти или в редисе запоминает, кто ты такой.

Set-Cookie: sessionId=abc123; HttpOnly; Secure; SameSite=Strict

В чём соль: состояние на сервере, нужно за этим следить, чистить умершие сессии. Зато удобно для обычных сайтов — зашёл, и тебя помнят. Но масштабировать уже сложнее, чем с JWT.

6. SSO (Single Sign-On) — один пароль на всё про всё. Залогинился в одной системе (типа Active Directory или Keycloak) — и во все связанные приложения тебя пускают без вопросов. Магия, блядь! В чём соль: пользователи не орут «я забыл пароль!» для каждого сервиса, а админы не ебут мозг с синхронизацией учёток. Но поднять и настроить эту банду — задача не для слабонервных.

7. Биометрия — твой палец вместо пароля. Отпечаток, лицо, радужка глаза — в общем, то, что всегда с тобой. На телефоне или ноуте — идеально. В чём соль: удобно, как хуй с пальто, и безопасно, если устройство не говно. Но на сервер биометрию слать — это, простите, идиотизм. Обычно используется локально для разблокировки того же токена.

А теперь, сука, практика:

  • Пишешь REST API для мобилок или фронта? Бери JWT или OAuth 2.0 — и все счастливы.
  • Делаешь обычный сайт с формами логина? Сессии тебе в помощь, или SSO, если корпоративная помойка.
  • Нужно просто дать доступ другому сервису? API Keys сгодится, но оберни всё в HTTPS, будь человеком.
  • Basic Auth — только для тестовых стендов или внутренних сервисов за надёжным фаерволом, иначе это просто самоубийство.

Вот и вся наука, блядь. Выбирай с умом, а не потому что «в тренде». И да, HTTPS везде, где есть хоть капля чувства самосохранения.

© ХакСобесов, 2026
support@hacksobesov.com