В современном цифровом мире мы постоянно имеем дело с доступом к сервисам: входим в личный кабинет банка, открываем почту или заходим на «Госуслуги». Мало кто задумывается, что в этот момент мы проходим через три строгих этапа проверки: идентификацию, аутентификацию и авторизацию. В этой статье глоссария мы подробно разберем, что такое авторизация, зачем она нужна и почему ее нельзя путать с вводом пароля.
Определение: что такое авторизация?
Авторизация (от англ. authorization — разрешение, уполномочивание) — это процесс предоставления пользователю или программе прав на выполнение определенных действий или доступ к конкретным ресурсам в компьютерной системе. Простыми словами, это ответ системы на вопрос: «Что именно этому пользователю разрешено делать?»
Если проводить аналогию с реальной жизнью, авторизация — это как бейдж сотрудника на режимном предприятии. Сам по себе бейдж удостоверяет личность, но доступ в разные кабинеты (в бухгалтерию, серверную или столовую) определяется уровнем допуска, который на этом бейдже закодирован .
Три кита доступа: разница между понятиями
Одна из самых частых ошибок пользователей — путать авторизацию с аутентификацией. Чтобы понять разницу, рассмотрим стандартный сценарий входа на сайт целиком:
- Идентификация. Пользователь вводит логин, номер телефона или email. Система распознает его: «А, это пользователь с ником Ivan1986». На этом этапе вы только сообщаете системе, кто вы такой.
- Аутентификация. Пользователь вводит пароль или код из СМС. Система проверяет, действительно ли Иван — это Иван, а не злоумышленник, укравший логин. Это подтверждение подлинности.
- Авторизация. Система вспоминает: «Иван — обычный пользователь, ему можно читать статьи и комментировать, но нельзя редактировать код сайта». Иван получает доступ к личному кабинету, но не к панели администратора. Это и есть авторизация — наделение правами.
Ключевое отличие: Аутентификация отвечает на вопрос «Кто ты?», а авторизация — на вопрос «Куда тебе можно и что тут можно трогать?».
Как работает авторизация?
Технически авторизация происходит после успешной аутентификации. Система сверяется с заранее заданными правилами и политиками безопасности (так называемой матрицей доступа). В этой матрице записано, какие ресурсы (файлы, папки, функции программы) доступны конкретному пользователю или группе пользователей.
Например, когда вы открываете документ в Яндекс Диске, сервис проверяет: являетесь ли вы владельцем, редактором или только читателем. В зависимости от этого вам показываются либо кнопка «Изменить», либо только режим «Просмотр».
Интересно, что авторизация может существовать без аутентификации. Например, разработчик может открыть общий доступ к файлу по ссылке для всех, кто ею воспользуется. В этом случае система авторизует (выдает права на чтение) даже неопознанному «еноту» без пароля.
Основные виды и модели авторизации
В российских и международных системах безопасности выделяют несколько основных моделей управления доступом. Выбор модели зависит от того, насколько критичны данные .
Ролевая модель (RBAC)
Самый популярный подход в бизнесе. Права доступа привязаны не к конкретному человеку, а к его должности (роли). Если сотрудника повышают с «менеджера» до «руководителя отдела», его права меняются автоматически. Эту модель используют в 1С, Windows Active Directory и большинстве CRM-систем.
Дискреционная (избирательная) модель (DAC)
Владелец объекта (например, файла или папки) сам решает, кому дать к нему доступ. Классический пример — права доступа к файлам в Linux или Windows, где вы можете «расшарить» папку для конкретного пользователя.
Мандатная (полномочная) модель (MAC)
Строгая иерархическая модель. Каждому документу присваивается гриф секретности («Секретно», «Совершенно секретно»), а каждому сотруднику — уровень допуска. Пользователь с допуском «2» не может прочитать документ с грифом «3». Эта модель используется в силовых ведомствах и для работы с государственной тайной.
Сферы применения
Авторизация — это не только про сайты. Она используется везде, где нужно разграничить доступ:
- Корпоративные системы: Разные права у директора и рядового сотрудника.
- Платежные сервисы: Подтверждение списания средств (авторизация банковской карты).
- Умный дом и Wi-Fi: Например, технология веб-авторизации, когда для выхода в интернет нужно «залогиниться» в браузере даже после подключения к сети.
- Мобильные приложения: Доступ к геолокации или фотоаппарату — это тоже результат авторизации.
Заключение
Авторизация — это финальный «шлагбаум» на пути к информации. Понимание этого термина помогает не только грамотно пользоваться терминологией, но и осознанно подходить к безопасности: почему не стоит давать сторонним приложениям все разрешения подряд и как работает принцип минимальных привилегий (PoLP), когда для работы дается ровно столько прав, сколько нужно, и ни байтом больше.
Запомните: вы прошли аутентификацию, когда ввели код из СМС, но доступ к деньгам на счету вам даст только авторизация.
