Utilizziamo il server Keycloak Identity che si occuperà dell'autenticazione e dell'autorizzazione per il nostro nuovo sito Web di marketing multilivello.
Nel nostro team c'era una discussione per mantenere i concetti di autorizzazione separatamente nel nostro database locale. Poiché è necessario utilizzare il server ID solo per l'autenticazione, sembra.
Quali sono le migliori pratiche per mantenere separatamente la logica di autorizzazione e autenticazione?
Do we need to maintain Authentication and Authorization Logic separately?
Sì, sì, sì!
Questi sono due compiti diversi. Confondere i due in modo errato è una delle fonti più comuni di vulnerabilità.
Numero 2 e 4 dei primi 10 OWASP quest'anno, in particolare: link
L'autenticazione è "chi sei" e l'autorizzazione è "cosa puoi fare?"
L'autenticazione di un utente non consente non di autorizzarli e l'autorizzazione non è garanzia di autenticazione.
Leggi altre domande sui tag authentication permissions authorization sso