Внедряем вход через Госуслуги за 3 шага — подробный гайд

Привет, Хабр! Если ваша компания работает на российском рынке, то вы наверняка сталкивались с запросами клиентов на «вход через Госуслуги». В нашем BILLmanager за это отвечает модуль «Авторизация через ЕСИА». Он позволяет клиентам входить в BILLmanager через аккаунт на Госуслугах, упрощает регистрацию и проверку данных. Сегодня мы рассмотрим, как настроить авторизацию через ЕСИА в BILLmanager 6. Разберём этот процесс шаг за шагом, чтобы сделать его максимально простым и понятным. Разложили все по полочкам — от установки самого модуля до работы с сертификатами. Сохраняйте, чтобы не потерять!

https://habr.com/ru/companies/ispsystem/articles/959508/

#billmanager #есиа #госуслуги #авторизация

Пишем чат на Rust

Очередной чат, и к тому же на rust?! Да, yet another. И да, в этой статье не будет каких-то новых откровений системного программирования с написанием своего фреймворка для работы со сетью на уровне драйверов или других испытаний. Этот альманах про мой первый опыт в веб-разработке, который может быть полезен для других новичков, ведь тут мы затронем помимо злосчастного rust такие вещи, как devcontainer, REST API, идентификацию-аутентификацию-авторизацию, WebSockets, SSE, юнит и интеграционные тесты, некоторые паттерны, логирование и прочее.

https://habr.com/ru/articles/945042/

#rust #вебразработа #фуллстек #sse #websockets #devcontainer #авторизация #чат #rest_api

Процесс регистрации/авторизации пользователя по номеру телефону через Telegram

Всем привет. Недавно пришлось решать проблему идентификации пользователя по номеру телефона в маленьком стартапе, позволяющим оформлять и оплачивать заказы онлайн. Почему именно номер телефона, а не электронная почта, например, или авторизация через соц. сети? Телефон сейчас, как мне кажется, де-факто стандарт для таких кейсов - это во-первых, а во-вторых, используя телефонный номер, можно подключать разные варианты его подтверждения: от смс до звонков с дальнейшим вводом либо кода из смс, либо последних цифр звонившего номера. Думаю, тут всем знакомы подобные механики. Изначально я сразу и предложил использовать механику с СМС-шлюзом, но так как я тут имею дело со стартапом без инвестиций, то меня попросили придумать как на первоначальном этапе можно сэкономить (в идеале обойтись на этом этапе совсем без затрат), так как основной целью запуска было тестирование бизнес-идеи. По предварительным исследованиям целевая пользовательская аудитория продукта является пользователями мессенджера Telegram. Вот в эту сторону я и начал думать. “Коробочный” механизм авторизации через виджет Telegram не отдает номер телефона пользователя, а нам именно он и нужен. Городить велосипед по получению номера телефона по id пользователя идея не самая лучшая, поэтому я решил сделать своего ТГ-бота для механики авторизации. Я на паре сайтов уже видел подобные решения, быстрый поиск по примерам реализации этой механики не дал внятных результатов. При поиске “авторизация telegram” я наткнулся на сайт , который был первым в поисковой выдаче. Пошел смотреть как у них все устроено, рассмотрим по шагам:

https://habr.com/ru/articles/956162/

#бот #телеграмбот #авторизация #номер_телефона #регистрация #python #system_design #user_flow #user

SSO на базе Spring Authorization Server. Можно ли в прод?

В современных приложениях централизованная аутентификация и авторизация играют ключевую роль в обеспечении безопасности и удобства пользователей. Именно с такой задачей мы столкнулись в компании NAUKA при создании "Платформы" — экосистемы, предназначенной для функционирования наших решений и разработки собственных прикладных приложений. В качестве основного компонента системы аутентификации и авторизации был выбран Spring Authorization Server. Настоящая статья - это небольшой практический обзор реализации SSO-сервера на основе технологии Spring Authorization Server с акцентом на решении типовых проблем, которые возникают при её использовании в реальной системе. Мы рассмотрим как технические детали, так и архитектурные решения, которые помогут создать надежный и масштабируемый сервер авторизации.

https://habr.com/ru/companies/nauka/articles/938970/

#аутентификация #авторизация #spring #spring_security #spring_framework #безопасность_вебприложений #сервер #java #идентификация

Единая авторизация ИИ-ассистентов: будущее авторизации ИИ в интернете

В ближайшем будущем мы станем свидетелями того, как агенты — автономные программы на базе ИИ — перестанут сидеть в дата-центрах и обретут свободу перемещения по интернету. Они будут заходить в почтовые ящики, обновлять CRM-системы и обрабатывать данные на веб-панелях без какого-либо вмешательства человека после единовременной настройки. Уже сейчас заметно, что привычная схема создания учётных записей и управления паролями не подходит для машин . Потребность в новом уровне авторизации назрела: нужен единый реестр доверенных агентов , где каждый из них получил бы собственный криптографический идентификатор и прописанные права доступа. Это будет нечто большее, чем просто OAuth для людей — речь пойдёт о стандарте для «машинных аккаунтов», гарантирующем безопасность и удобство одновременно. Агент сможет один раз зарегистрироваться и затем беспрепятственно авторизовываться на любых сервисах-участниках этой экосистемы.

https://habr.com/ru/articles/933418/

#ии #oauth #авторизация #безопасность

Ролевой контроль в приложении: вариант реализации

Привет! Меня зовут Валерия, я java-разработчик компании SimbirSoft. В этой статье я хочу рассказать об одном из способов реализации ролевого контроля над действиями пользователей в системе. Механизм ролевого контроля позволяет сделать бизнес-процессы надежными с точки зрения информационной безопасности и привести их в соответствие с внутренними регламентами организации. Задачи подобного рода так или иначе возникают на любом проекте. Есть несколько способов решения. Они зависят от проблематики, требований, доменной области, пожеланий заказчика и т.д. Есть несколько возможных вариантов реализации.

https://habr.com/ru/companies/simbirsoft/articles/928104/

#авторизация #авторизация_пользователя #ролевой_доступ #authorize #ldap #mvc

Почему мы строим свою технологическую платформу?

Добрый день, меня зовут Владимир Павлунин, я архитектор технологической платформы в ИТ-команде «Северстали». В компаниях часто складывается такая ситуация, что каждая команда управляет проектом по-своему: пишут код, строят системы исходя из своего опыта. В итоге — куча похожих решений, которые никак не связаны друг с другом. Происходит увеличении энтропии, сложно понять, что где сделано, еще сложнее это связать между собой. То, что можно было сделать один раз и потом переиспользовать в других проектах, делается каждый раз с нуля во всех проектах, и по-разному. Год назад наша компания столкнулась с проблемой, знакомой многим крупным организациям. Разные команды, работая над похожими сервисами, каждый раз решали одни и те же задачи: настраивали CI/CD, поднимали окружения, интегрировали мониторинг и управляли зависимостями. В результате мы получили дублирование усилий, фрагментированность подходов и значительное замедление стартовой фазы проектов. Платформа, как и правила дорожного движения, нужна для создания единого стандарта, который обеспечивает порядок, безопасность и удобство взаимодействия всех участников. Без неё возникает хаос: каждый действует по своим правилам, что приводит к конфликтам, рискам и неэффективности. Например, когда на дорогах появились ГИБДД, водители стали соблюдать правила только в присутствии инспекторов, а при их отсутствии часто позволяли себе нарушения. С внедрением автоматизации, таких как камеры контроля скорости и светофоры с датчиками, соблюдение правил стало постоянным, так как система работает всегда и везде, а не только "при виде инспектора". Это показывает, что платформа упрощает взаимодействие, делает его предсказуемым и позволяет легко адаптироваться к новым условиям, сохраняя баланс между старыми и новыми участниками системы.

https://habr.com/ru/companies/severstal/articles/923512/

#архитектура #архитектура_системы #разработка_приложений #платформа #управление_проектами #авторизация #аутентификация #ci #cd #автоматизация

Что делать с раскрытыми паролями

Согласно исследованиям, около 41% авторизаций в интернете производятся с использованием скомпрометированных паролей. Повторное использование паролей — одна из главных проблем в информационной безопасности. Пользователи используют одинаковые пароли в среднем для четырёх учётных записей на разных сайтах. Рано или поздно все пароли попадают в открытый доступ.

https://habr.com/ru/companies/globalsign/articles/923138/

#пароли #Microsoft #парольный_менеджер #аутентификация #авторизация #NIST_SP_80063 #MFA #passkeys #Digital_Identity_Guideline #NIST #стандарт #credential_stuffing

Путеводитель по Ktor JWT auth на стороне сервера

Документация Ktor по server-jwt неполна. Если необходимо сделать что-то за рамками «Hello world», придется лезть в исходники и городить костыли. Какой-то консистентности и предсказуемости ждать не стоит, возможно, не обошлось без заговорщиков . Статья покроет необходимую базу для работы с JWT и убережет от множества подводных камней.

https://habr.com/ru/articles/921076/

#ktor #backend #kotlin #jwt_auth #говнокод #авторизация #аутентификация #костыли #authorization #authentication

Intent, WebView и биометрия: как безобидные функции становятся инструментами хакеров

Из-за экономических санкций и удаления приложений из App Store и Google Play российские организации были вынуждены отойти от привычных всем репозиториев, предоставив злоумышленникам больше возможностей для обмана пользователей: загрузка и обновление приложений по внешним ссылкам даже для банковских клиентов стали привычными. Более того, пользователи ищут более удобную альтернативу известным приложениям Вдобавок ко всему люди стали активно использовать биометрическую аутентификацию как на устройствах, так и в мобильных приложениях. Биометрическая аутентификация не только облегчила жизнь пользователям, но и породила проблемы, связанные с безопасностью персональных данных и мобильных устройств в целом. Эти угрозы требуют от специалистов по безопасности постоянного анализа и разработки контрмер. Для этого необходимо знать, какие инструменты и методы используют злоумышленники. Арсенал атакующих в общем случае выглядит так : вредоносное ПО, фишинговые письма и эксплойты.

https://habr.com/ru/companies/pt/articles/920810/

#intent #webview #уязвимости #мобильные_приложения #ios #android #вредоносные_приложения #аутентификация #авторизация #биометрия

Введение в OAuth и OpenID Connect

Идентификация — это заявление о том, кем вы являетесь. В зависимости от ситуации, это может быть имя, адрес электронной почты, номер учетной записи, и так далее. Аутентификация — предоставление доказательств, что вы на самом деле есть тот, кем идентифицировались (от слова “authentic” - истинный, подлинный). В качестве доказательства может использоваться паспорт, для подтверждения личности в банке, либо ввод пароля на сайте. Авторизация — проверка, что вам разрешен доступ к запрашиваемому ресурсу.

https://habr.com/ru/articles/916640/

#oauth2 #openidconnect #авторизация #аутентификация

Использование больших языковых моделей (LLM) в Access Management

Может ли искусственный интеллект революционизировать управление доступом? Есть ли подводные камни? Высокие затраты, риск «галлюцинаций», производительность в реальном времени, эффективность - что перевешивает? В данной статье мы разберемся, как можно применить LLM к управлению доступом для повышения эффективности и стоит ли.

https://habr.com/ru/articles/915564/

#access_management #llm #большие_языковые_модели #аутентификация #авторизация #аудит_безопасности #машинное_обучение #галлюцинации_ии #large_language_models #ai

История одного SSO: как мы подружили два независимых каталога пользователей через Keycloak

Привет, Хабр! Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений в К2 Кибербезопасность . При внедрении Single Sign-On, на первый взгляд, все должно идти по накатанной схеме: настраиваем федерацию со службой каталогов, связываем identity provider с service provider, проверяем работу токенов — и готово. Но дьявол, как всегда, кроется в деталях. Зачастую приходится решать нестандартные задачи. Например, как быть, если у вас две равноправных организации-партнера со своими требованиями к безопасности, и каждый хочет контролировать аутентификацию пользователей, но при этом пользователи одного партнера должны ходить в систему другого? В этой статье я расскажу, как мы с Даниилом Золотаревым, инженером нашей практики защиты приложений, проводили разработку кастомного аутентификатора для Keycloak, который позволил элегантно решить техническую задачу, стоявшую перед головной и дочерней организациями. Покажу, как мы обошли ограничения штатной функциональности, не нарушая требований безопасности обеих сторон. В процессе вы увидите технические детали реализации, примеры кода и практические советы по созданию собственных аутентификаторов. Думаю, статья будет полезна архитекторам, разработчикам и всем, кто интересуется тонкостями реализации сценариев SSO на базе Keycloak.

https://habr.com/ru/companies/k2tech/articles/911098/

#информационная_безопасность #keycloak #sso #кастомный_аутентификатор #аутентификация #active_directory #ldap #авторизация #корпоративные_системы

FastAPI + Keycloak: Простая и безопасная авторизация в веб-приложении на примере реального проекта

Keycloak - это мощная open-source платформа для аутентификации и авторизации, которую используют даже банки и крупные корпоративные клиенты для защиты своих приложений и данных. В статье на реальном примере (FastAPI + Python) простым языком объясню, как Keycloak помогает упростить управление доступом и почему его принципы универсальны для любого бэкенда, независимо от выбранного языка программирования

https://habr.com/ru/companies/amvera/articles/907990/

#keycloak #fastapi #авторизация #базы_данных #python #keycloak_fastapi #вебразработка #sqlalchemy_20 #sqlalchemy #javascript

Авторизация через VK: что под капотом и как это тестировать

Авторизация в приложениях через сторонние сервисы уже давно стала привычной. Это и правда удобно. Не нужно запоминать, как именно ты вписал свой юзернейм — Va$ya или Vassssya? — и какой пароль выбрал — 123 или 321? Нажимаешь волшебную кнопку «Войти с помощью….» и попадаешь в личный кабинет. И раз эта фича появилась, значит это кто-то тестирует. Несколько лет назад мы разработали для наших учеников тренажёр в виде игры «Битва покемонов». Мы постоянно развиваем и дополняем его: не так давно добавили авторизацию через VK ID. Давайте на конкретном примере разберём, как работает такая авторизация и как её можно протестировать. Авторизация через VK: что под капотом? Теория тестирования сообщает нам, что прежде чем что-то тестировать, нужно определиться с требованиями. Дополним от себя: прежде чем что-то тестировать, нужно понять, как именно оно работает. Выглядит всё максимально просто: если мы авторизованы в своём профиле ВК в браузере, то нам нужно нажать две кнопки — и мы оказываемся внутри игры.

https://habr.com/ru/articles/902068/

#авторизация #vk #интеграционное_тестирование #qa #тестирование #тестирование_сайтов #qa_engineer #тестировщик

Postman скрипт для обновления токена авторизации

Недавно по работе занимался тестирование очередного апи и столкнулся с таким неудобством, что все запросы требуют авторизации, а токен живёт всего 5 минут. Из-за этого приходилось постоянно делать запрос авторизации и обновлять токен вручную. В какой-то момент мне это надоело, и я задумался как это дело автоматизировать. Узнал, что можно написать Pre-request скрипт для коллекции в постмане, который будет выполняться перед каждым запросом, а уже в этом скрипте делать запрос токена авторизации. С какими сложностями мне пришлось столкнуться... Ну во первых пришлось немного полазить в доке постмана, но там только поверхностно описано, не смог найти как сделать запрос. Гуглёж вопросов других бедолаг мне тоже не особо помог, т.к. там были немного другие кейсы. Мне неожиданно помогла локально запущенная лама, которая мощно сходу дала мне хорошую подсказку, как сделать в скрипте постмана запрос с телом urlencoded и сохранить из него ответ в переменные. Чем я собственно и хотел поделиться. Итак исходное положение. Имеем некую коллекцию запросов в постмане и все креды для авторизации сохранённые в переменных. У нас есть запрос Auth, который получает токен авторизации.

https://habr.com/ru/articles/894528/

#postman #тестирование_api #javascript #prerequest #авторизация #token #bearer_tokens #oauth

[Перевод] Глава 4: API-аутентификация, часть 1 (базовая и ключевая)

В нашем понимании API все начинает проясняться. Мы знаем, кто такие клиент и сервер, мы знаем, что они используют HTTP для общения друг с другом, и мы знаем, что они используют в определенные форматы данных , чтобы понимать друг друга. Однако знание того, как общаться, оставляет важный вопрос: как сервер узнает, что клиент — тот, за кого себя выдает? В этой главе мы рассмотрим два способа, которыми клиент может доказать свою идентичность серверу.

https://habr.com/ru/articles/891398/

#аналитика #анализ_и_проектирование_систем #api #авторизация #обучение

Делаем авторизацию в Telegram Mini Apps правильно

Если вас заинтересовала тема авторизации, подразумеваю, что вы уже итак знаете что такое Telegram Mini Apps. Поэтому не буду долго размусоливать вступление и перейду сразу к делу. Поехали!

https://habr.com/ru/articles/889270/

#Авторизация #аутентификация #telegram #telegram_bots #telegram_mini_app #react #nestjs #typescript #frontend #backend

[Перевод] OAuth 2.0

Вы когда‑нибудь логинились на сайте, используя аккаунт Google или Facebook? Или подключали приложение, требующее доступа к GitHub? Если да, то вы уже сталкивались с OAuth2, зная того или нет. OAuth2 — наиболее популярный и расширяемый фреймворк авторизации. Он позволяет интегрировать различные системы, делегируя доступ к вашим данным одного сервиса другому. Но фишка в том, что большая часть людей понятия не имеет, как именно OAuth2 на самом деле работает. Лично мне приходилось реализовывать несколько приложений, использующих OAuth2. Это было настолько прямолинейно, что мне даже не пришлось задумываться о том, как работает сам протокол. И это не случайно. OAuth2 сделан таким образом, чтобы его было легко добавить в приложение, а не воевать со сложными механизмами авторизации. Но если мы немного остановимся и начнем копать глубже, то найдем для себя много нового с точки зрения дизайна ПО. В этой статье мы раскроем причины, по которым были приняты те или иные решения в процессе дизайна протокола OAuth2 и разберем наиболее часто встречаемые гранты авторизации.

https://habr.com/ru/companies/beget/articles/886874/

#авторизация #безопасность #стандарты #oauth2

Я так устал вводить логин и пароль

Капчи украли у нас миллиарды часов и продолжают воровать дальше. Эту проблему надо решить, и есть технологии, которые могли бы заменить капчу, в том числе такие экзотические, как NFT с биометрией . Проверка на человечность — это пример относительно сложной в интеллектуальном плане задачи. Однако на каждом шагу встречаются гораздо более будничные проблемы, которые съедают впустую не меньше времени, чем капчи. Одна из них — срок жизни авторизации в приложениях. В Steam и Gmail токены авторизации живут достаточно долго. В Steam авторизация вообще может жить годами. Это положительные примеры. Отрицательных примеров гораздо, гораздо больше.

https://habr.com/ru/articles/884424/

#пароли #авторизация #аутентификация #usability #здравый_смысл