È necessario mantenere l'autenticazione e la logica di autorizzazione separatamente? [chiuso]

2

Utilizziamo il server Keycloak Identity che si occuperà dell'autenticazione e dell'autorizzazione per il nostro nuovo sito Web di marketing multilivello.

Nel nostro team c'era una discussione per mantenere i concetti di autorizzazione separatamente nel nostro database locale. Poiché è necessario utilizzare il server ID solo per l'autenticazione, sembra.

Quali sono le migliori pratiche per mantenere separatamente la logica di autorizzazione e autenticazione?

    
posta Nick 22.06.2017 - 18:18
fonte

1 risposta

1

Do we need to maintain Authentication and Authorization Logic separately?

Sì, sì, sì!

Questi sono due compiti diversi. Confondere i due in modo errato è una delle fonti più comuni di vulnerabilità.

Numero 2 e 4 dei primi 10 OWASP quest'anno, in particolare: link

L'autenticazione è "chi sei" e l'autorizzazione è "cosa puoi fare?"

L'autenticazione di un utente non consente non di autorizzarli e l'autorizzazione non è garanzia di autenticazione.

    
risposta data 22.06.2017 - 23:22
fonte

Leggi altre domande sui tag