Что такое авторизация простыми словами

Авторизация — это ключевой процесс в информационной безопасности, который определяет, к каким ресурсам, данным или функциям имеет право доступа конкретный пользователь, программа или система после того, как его личность была подтверждена (процесс аутентификации). Если аутентификация отвечает на вопрос «Кто вы?», то авторизация — на вопрос «Что вам разрешено делать?».

Представьте себе офисное здание. Сотрудник прикладывает пропуск к турникету (аутентификация — система узнала, что это Иванов). Но дальше ему нужно попасть в конкретный кабинет. Авторизация — это проверка, имеет ли Иванов ключ от этого кабинета или право его открыть. Он может быть допущен в свой отдел на 5-м этаже, но не может войти в серверную или кабинет гендиректора. Именно эти правила доступа и реализует механизм авторизации.

Авторизация не проверяет личность, а проверяет привилегии уже идентифицированного субъекта.

Чем авторизация отличается от аутентификации

Эти два понятия часто путают, но они решают разные задачи в цепочке безопасности:

  • Аутентификация — доказательство того, что вы — это вы. Ввод логина и пароля, сканирование отпечатка пальца, использование одноразового кода из SMS. Результат: система «узнала» пользователя.
  • Авторизация — определение уровня доступа для уже «узнанного» пользователя. Может ли он редактировать документ или только просматривать? Разрешено ли ему удалять файлы или совершать финансовые транзакции? Результат: набор прав и разрешений.

Проще запомнить так: сначала вы входите в систему (аутентификация), а потом система решает, что вам внутри можно (авторизация).

Как работает авторизация: основные модели и механизмы

Для реализации авторизации используются различные модели контроля доступа. Вот самые распространённые:

1. Ролевая модель доступа (RBAC — Role-Based Access Control)

Права назначаются не конкретным пользователям, а ролям. Пользователь получает права, будучи назначенным на определённую роль. Например, в компании есть роли: «Гость» (только чтение), «Редактор» (чтение и редактирование), «Администратор» (полные права). Это упрощает управление: чтобы изменить права для всех редакторов, администратор меняет настройки один раз для роли «Редактор».

2. Дискреционное управление доступом (DAC)

Владелец ресурса (например, файла или папки) сам решает, кому и какие права на него предоставить. Классический пример — настройки прав доступа к файлам в операционных системах семейства Windows или Linux («чтение», «запись», «исполнение» для владельца, группы и остальных).

3. Мандатное управление доступом (MAC)

Жёсткая модель, где права назначаются централизованно системным администратором или политикой безопасности на основе меток конфиденциальности. Пользователь не может самостоятельно изменить эти права. Часто используется в государственных и военных структурах (например, грифы «Секретно», «Для служебного пользования»).

4. Управление доступом на основе атрибутов (ABAC)

Современная и гибкая модель. Решение о предоставлении доступа принимается динамически на основе множества атрибутов: атрибутов пользователя (должность, отдел), ресурса (тип документа, классификация), действия (чтение, запись) и контекста (время суток, местоположение, тип устройства). Например: «Сотрудник из отдела продаж может редактировать коммерческие предложения только с рабочего компьютера в офисе в рабочее время».

Где мы сталкиваемся с авторизацией в повседневной жизни

Этот процесс окружает нас постоянно в цифровом мире:

  • Социальные сети и мессенджеры: после входа в аккаунт вы можете видеть только свои личные сообщения и профили друзей, но не имеете доступа к чужим перепискам.
  • Онлайн-банкинг: вы авторизованы для просмотра баланса своих счетов и переводов со своих карт, но не можете видеть счета других клиентов банка или управлять ими.
  • Корпоративные порталы и CRM-системы: менеджер видит своих клиентов, а директор по продажам — всю воронку продаж отдела. Бухгалтер имеет доступ к финансовым модулям, а HR-специалист — к кадровым.
  • Операционные системы: обычный пользователь не может устанавливать системные драйверы или редактировать файлы в системных папках — для этого нужны права администратора.
  • Сайты с подпиской: бесплатный пользователь (гость) видит только часть контента, а платный подписчик получает доступ к эксклюзивным материалам или функциям.

Техническая реализация: токены, cookies и OAuth

После успешной аутентификации система должна как-то «помнить», что пользователь авторизован, и какие у него права. Для этого используются:

  • Сессии и Cookies: на сервере создаётся сессия с данными пользователя (включая его права), а браузеру выдаётся уникальный идентификатор сессии (Session ID), который хранится в cookie. При каждом запросе браузер отправляет этот ID, и сервер понимает, кто делает запрос и что ему можно.
  • Токены доступа (Access Tokens): особенно популярны в REST API и мобильных приложениях. После ввода логина и пароля сервер возвращает специальный токен (часто в формате JWT — JSON Web Token), который содержит в зашифрованном виде информацию о пользователе и его правах. Этот токен клиент (приложение) передаёт с каждым последующим запросом в заголовке.
  • Протокол OAuth 2.0: это стандарт для делегированной авторизации. Он позволяет одному сервису (например, небольшому веб-приложению) получить ограниченный доступ к данным пользователя на другом сервисе (например, Google или Facebook) без передачи ему логина и пароля. Вы часто видите кнопки «Войти через Google/VK». Вы даёте разрешение (авторизуете) стороннему приложению на доступ только к определённым данным (например, к вашему email и имени), что и контролируется механизмом OAuth.

Важность авторизации для безопасности

Правильно настроенная авторизация — это второй рубеж обороны после аутентификации. Она реализует принцип минимальных привилегий: пользователь или программа должны иметь ровно тот уровень доступа, который необходим для выполнения их задач, и не более. Это ограничивает ущерб в случае, если учётные данные будут скомпрометированы. Злоумышленник, укравший пароль рядового сотрудника, не сможет нанести катастрофический вред, если у того не было прав на удаление данных или доступ к финансовым операциям.

Таким образом, авторизация — это не просто технический термин, а фундаментальный процесс, обеспечивающий порядок, конфиденциальность и безопасность в любой цифровой системе, разграничивая права между её пользователями.

Источники