Authorization

Authorization або авторизація — це процес перевірки, що користувач, сервіс або система має право виконати певну дію або отримати доступ до певного ресурсу. Якщо authentication відповідає на питання “хто ти?”, то authorization відповідає на питання “що тобі дозволено?”.

Авторизація потрібна майже в кожному застосунку, де є акаунти, ролі, приватні дані, API, адміністративні панелі, платежі, документи, файли, команди, організації або різні рівні доступу.

Одна з найпоширеніших помилок у безпеці застосунків — думати, що якщо користувач увійшов у систему, то він уже “безпечний”. Насправді login лише підтверджує особу. Після цього кожна важлива дія все одно має перевірятися окремо.

Наприклад, користувач може бути справжнім власником акаунта, але це не означає, що він має право бачити чужий invoice, видаляти чужий проєкт або відкривати admin panel.

Authorization використовується для контролю доступу до:

• сторінок;
• API endpoints;
• файлів;
• документів;
• баз даних;
• адміністративних функцій;
• billing;
• reports;
• user profiles;
• організацій;
• команд;
• проєктів;
• записів;
• налаштувань;
• internal tools;
• cloud resources;
• microservices.

Авторизація може базуватися на ролях, permissions, attributes, ownership, policies, scopes, groups, organization membership, subscription plan, security level або context.

Authentication і authorization часто плутають, але це різні речі.

Приклад:

Authentication: Alice успішно увійшла в систему.
Authorization: Alice може редагувати проєкт A, але не може видалити проєкт B.

Access control — ширше поняття, яке охоплює правила, механізми й процеси керування доступом.

Access control відповідає на питання:

• хто може отримати доступ;
• до чого саме;
• які дії дозволені;
• за яких умов;
• хто надав доступ;
• як доступ відкликати;
• як перевірити історію доступів.

Приклади дій:

• read;
• create;
• update;
• delete;
• approve;
• export;
• invite;
• publish;
• deploy;
• refund;
• manage users.

Permission — конкретний дозвіл на дію.

Приклади permissions:

• `user.read`;
• `user.update`;
• `project.create`;
• `project.delete`;
• `invoice.view`;
• `invoice.refund`;
• `settings.manage`;
• `admin.access`;
• `report.export`;
• `billing.manage`.

Permission краще формулювати конкретно, а не занадто загально.

Погано:

canDoStuff
adminPower
fullAccess

Краще:

invoice.refund
team.member.invite
project.settings.update

Role — набір permissions, який відповідає певній функції користувача.

Приклади ролей:

• Admin;
• Owner;
• Manager;
• Editor;
• Viewer;
• Member;
• Billing Admin;
• Support Agent;
• Auditor;
• Developer;
• Operator.

Приклад:

Role: Editor
Permissions:
- article.create
- article.update
- article.publish
- media.upload

RBAC або Role-Based Access Control — модель авторизації, де доступ визначається ролями.

Приклад:

RBAC добре підходить для:

• бізнес-застосунків;
• admin panels;
• SaaS;
• CMS;
• CRM;
• enterprise systems;
• командних workspace;
• простих і середніх моделей доступу.

ABAC або Attribute-Based Access Control — модель, де доступ залежить від attributes.

Attributes можуть належати:

• користувачу;
• ресурсу;
• дії;
• організації;
• середовищу;
• часу;
• location;
• device;
• security level;
• subscription plan.

Приклад правила:

Користувач може переглядати документ,
якщо department користувача збігається з department документа
і документ не позначений як confidential.

ABAC гнучкіший за RBAC, але складніший.

ACL або Access Control List — список доступів для конкретного ресурсу.

Приклад:

Document 123:
- Alice: read, write
- Bob: read
- Team Finance: read
- Admins: manage

ACL добре підходить для:

• файлів;
• документів;
• shared folders;
• collaboration tools;
• object storage;
• granular sharing;
• ресурсів, де доступ налаштовується окремо.

Ownership — модель, де доступ залежить від власника ресурсу.

Приклад:

Користувач може редагувати profile, якщо profile.user_id == current_user.id.

Ownership часто використовується для:

• user profiles;
• personal documents;
• orders;
• comments;
• messages;
• uploaded files;
• private notes;
• individual settings.

Least privilege — принцип мінімально необхідних прав.

Суть:

Користувач або сервіс має отримувати тільки ті права,
які потрібні для його задачі.

Least privilege зменшує:

• ризик випадкових змін;
• шкоду від зламаного акаунта;
• privilege escalation;
• insider risk;
• наслідки помилки;
• доступ до чутливих даних.

Deny by default — правило, за яким доступ заборонено, якщо немає явного дозволу.

Погано:

Якщо немає правила — дозволити.

Краще:

Якщо немає правила — заборонити.

Цей підхід особливо важливий для:

• API;
• admin panels;
• cloud IAM;
• internal tools;
• database permissions;
• file access;
• enterprise systems.

Policy — правило або набір правил авторизації.

Policy може відповідати на питання:

• хто може виконати дію;
• з яким ресурсом;
• за яких умов;
• які атрибути враховуються;
• які винятки існують.

Приклад policy:

Only project owners can delete a project.
Project members can view project tasks.
Billing admins can update payment methods.

Policy engine — компонент, який приймає рішення про доступ.

Він може отримувати:

• subject;
• action;
• resource;
• context;
• attributes;
• policies.

І повертати:

allow
deny

Policy engine корисний для:

• складних enterprise rules;
• microservices;
• centralized authorization;
• audit;
• compliance;
• ABAC;
• policy-as-code.

OAuth scopes — обмеження прав access token у OAuth-сценаріях.

Приклади scopes:

• `read:profile`;
• `write:profile`;
• `read:email`;
• `repo`;
• `payments:read`;
• `payments:write`;
• `calendar.events.read`;
• `calendar.events.write`.

Scopes допомагають third-party applications отримувати не весь доступ, а тільки потрібний набір прав.

JWT claims — твердження всередині JSON Web Token, які можуть містити інформацію про користувача або права.

Приклади claims:

• `sub`;
• `iss`;
• `aud`;
• `exp`;
• `iat`;
• `role`;
• `scope`;
• `tenant_id`;
• `permissions`.

Приклад payload:

{
  "sub": "user_123",
  "role": "editor",
  "scope": "article:read article:write",
  "tenant_id": "org_456"
}

Access token — токен, який клієнт використовує для доступу до protected resource.

Access token може містити або посилатися на:

• user identity;
• scopes;
• roles;
• permissions;
• expiration;
• issuer;
• audience;
• client application;
• tenant;
• session context.

Access token має бути:

• короткоживучим;
• захищеним;
• переданим через HTTPS;
• перевіреним на backend;
• обмеженим потрібними scopes;
• відкликаним або заміненим при ризику.

У session-based applications користувач входить у систему, а сервер зберігає session.

Authorization може перевіряти:

• session user id;
• roles;
• permissions;
• organization membership;
• CSRF protection;
• session expiration;
• device/session state.

Session-based authorization часто використовується в:

• traditional web apps;
• admin panels;
• CMS;
• internal tools;
• server-rendered applications.

API authorization перевіряє доступ до endpoints і resources.

Приклад:

GET /api/projects/123
DELETE /api/projects/123
POST /api/projects/123/invite

Кожен endpoint має перевіряти:

• чи користувач authenticated;
• чи має permission на action;
• чи має доступ до конкретного resource;
• чи належить resource до його tenant або organization;
• чи не перевищено scope token;
• чи дозволяє subscription plan цю дію.

Frontend authorization зазвичай відповідає за UX:

• приховати недоступну кнопку;
• показати правильне меню;
• вимкнути action;
• перенаправити з недоступної сторінки;
• показати повідомлення про доступ;
• адаптувати navigation.

Але frontend authorization не є достатнім захистом.

Backend authorization — головне місце перевірки доступу.

Backend має перевіряти:

• current user;
• action;
• target resource;
• ownership;
• role;
• permissions;
• tenant;
• scopes;
• policy;
• business rules.

Приклад:

if (!canUpdateProject(currentUser, project)) {
  throw new Error("Forbidden");
}

Бази даних також мають власну систему прав.

Database authorization може включати:

• users;
• roles;
• grants;
• schemas;
• table permissions;
• row-level security;
• column permissions;
• views;
• stored procedure permissions.

Приклад SQL-ідеї:

GRANT SELECT ON invoices TO reporting_user;
REVOKE DELETE ON invoices FROM reporting_user;

Row-Level Security або RLS — механізм, який обмежує доступ до рядків у таблиці.

Приклад ідеї:

Користувач бачить тільки rows, де tenant_id = його tenant_id.

RLS корисна для:

• multi-tenant SaaS;
• finance systems;
• healthcare;
• internal analytics;
• security-sensitive data;
• shared databases.

У multi-tenant systems одна система обслуговує багато організацій або клієнтів.

Authorization має перевіряти:

• tenant id;
• organization membership;
• workspace role;
• resource ownership;
• cross-tenant isolation;
• admin boundaries;
• billing permissions;
• invitation rules.

Приклад небезпечної помилки:

Користувач із tenant A може відкрити resource tenant B через зміну ID в URL.

IDOR або Insecure Direct Object Reference — вразливість, коли користувач може отримати доступ до чужого ресурсу, змінивши ідентифікатор.

Приклад:

/invoices/1001
/invoices/1002

Якщо користувач не має доступу до invoice `1002`, backend має повернути заборону, навіть якщо ID існує.

IDOR часто виникає через:

• відсутність ownership check;
• перевірку лише login;
• predictable IDs;
• слабку tenant isolation;
• authorization тільки на frontend;
• reuse endpoints без policy.

Privilege escalation — ситуація, коли користувач отримує більше прав, ніж мав.

Види:

• vertical privilege escalation — звичайний користувач отримує admin-права;
• horizontal privilege escalation — користувач отримує доступ до даних іншого користувача такого ж рівня.

Приклади причин:

• погані role checks;
• IDOR;
• mass assignment;
• insecure admin endpoints;
• неправильні JWT claims;
• слабкі policies;
• надмірні default permissions;
• відсутність audit.

Mass assignment — проблема, коли користувач може передати зайві поля й змінити те, що не мав права змінювати.

Небезпечний приклад:

{
  "name": "Oleh",
  "role": "admin"
}

Якщо backend без перевірки записує всі поля в database, користувач може сам собі підняти роль.

Краще:

• явно дозволяти тільки permitted fields;
• окремо перевіряти role changes;
• не довіряти client payload;
• використовувати DTO або schema validation.

Admin authorization має бути особливо обережною.

Admin actions можуть включати:

• видалення користувачів;
• зміна ролей;
• refunds;
• перегляд приватних даних;
• export data;
• system settings;
• impersonation;
• moderation;
• billing;
• security logs.

Для admin-доступу корисні:

• 2FA;
• least privilege;
• audit logs;
• approval flows;
• session expiration;
• IP allowlist у частині сценаріїв;
• separate admin roles;
• break-glass access;
• monitoring.

У microservices або distributed systems сервіси також мають авторизуватися між собою.

Потрібно перевіряти:

• service identity;
• allowed actions;
• mTLS;
• service tokens;
• scopes;
• network policies;
• workload identity;
• API gateway policies;
• zero trust principles.

Приклад:

Billing service може читати user profile,
але не може змінювати user role.

У microservices authorization може бути складнішою, бо рішення розподілені між сервісами.

Підходи:

• centralized authorization service;
• local policy enforcement;
• API gateway authorization;
• service mesh policies;
• token scopes;
• shared policy library;
• policy-as-code.

Проблеми:

• дублювання правил;
• inconsistent policies;
• stale permissions;
• latency;
• distributed tracing;
• audit complexity;
• token propagation;
• confused deputy problem.

SaaS-застосунки часто мають складну модель доступу.

Типові рівні:

• system admin;
• organization owner;
• workspace admin;
• project manager;
• member;
• guest;
• billing admin;
• read-only auditor.

SaaS authorization має враховувати:

• tenant;
• workspace;
• subscription plan;
• seats;
• feature flags;
• team membership;
• invitations;
• sharing;
• billing permissions;
• data exports.

У CMS авторизація керує тим, хто може створювати, редагувати, публікувати й видаляти контент.

Типові permissions:

• draft.create;
• article.edit;
• article.publish;
• article.delete;
• media.upload;
• comment.moderate;
• user.manage;
• settings.update.

У cloud platforms authorization часто реалізується через IAM.

IAM може керувати доступом до:

• compute;
• storage;
• databases;
• secrets;
• logs;
• networks;
• Kubernetes;
• serverless functions;
• billing;
• monitoring;
• deployment pipelines.

IAM policies мають бути:

• мінімальними;
• регулярно перевіреними;
• прив’язаними до ролей;
• audit-friendly;
• без wildcard permissions без потреби;
• розділеними між environments.

У Kubernetes авторизація часто працює через RBAC.

Kubernetes RBAC має:

• Role;
• ClusterRole;
• RoleBinding;
• ClusterRoleBinding;
• ServiceAccount;
• verbs;
• resources;
• namespaces.

Приклад verbs:

• get;
• list;
• watch;
• create;
• update;
• patch;
• delete.

Файлові системи теж мають authorization.

Приклади:

• owner permissions;
• group permissions;
• read/write/execute;
• ACL;
• file ownership;
• directory permissions;
• shared folder permissions.

Unix-приклад:

-rw-r----- user group report.txt

Це означає:

• owner може читати й писати;
• group може читати;
• others не мають доступу.

Audit logs фіксують важливі дії доступу.

Audit log може містити:

• хто виконав дію;
• яку дію;
• над яким resource;
• коли;
• з якої IP або device;
• чи була дія дозволена;
• що змінилося;
• request id;
• admin context;
• reason або ticket у enterprise-сценаріях.

Audit logs важливі для:

• security;
• compliance;
• incident response;
• debugging;
• accountability;
• forensic analysis.

Authorization напряму пов’язана з privacy, бо визначає, хто може бачити персональні дані.

Потрібно обмежувати доступ до:

• email;
• phone number;
• address;
• payment data;
• medical data;
• documents;
• messages;
• location;
• logs із персональними даними;
• exports;
• backups.

Authorization і caching потрібно поєднувати обережно.

Ризики:

• кешування private response як public;
• показ чужих даних через shared cache;
• stale permissions;
• роль змінилася, а cache ще дозволяє доступ;
• CDN віддає персональні дані;
• browser cache зберігає sensitive page.

Добрі практики:

• враховувати user/tenant у cache key;
• не кешувати sensitive responses без потреби;
• правильно ставити cache headers;
• invalidation після зміни permissions;
• перевіряти authorization перед віддачею cached data.

Feature flags можуть впливати на доступ до функцій, але не завжди є повною authorization-моделлю.

Feature flag відповідає:

Чи увімкнена функція?

Authorization відповідає:

Чи має цей користувач право використати цю функцію?

У SaaS доступ може залежати від тарифу.

Приклади:

• Free plan — 1 project;
• Pro plan — unlimited projects;
• Enterprise plan — audit logs і SSO;
• Basic plan — no export;
• Team plan — role management.

Це product authorization або entitlement management.

У web/API часто використовують статуси:

Назва `401 Unauthorized` історично трохи плутає, бо фактично часто означає “не authenticated”.

Authorization middleware — проміжний шар, який перевіряє доступ перед виконанням endpoint.

Приклад ідеї:

app.delete('/projects/:id', requirePermission('project.delete'), deleteProject);

Middleware корисний для:

• повторного використання checks;
• зменшення дублювання;
• централізації базових правил;
• простих role checks;
• API protection.

Але resource-level checks часто все одно треба робити в service layer.

Service layer часто є хорошим місцем для resource-specific authorization.

Приклад:

async function updateProject(user: User, projectId: string, input: UpdateProjectInput) {
  const project = await projectRepository.findById(projectId);

  if (!project) {
    throw new NotFoundError();
  }

  if (!canUpdateProject(user, project)) {
    throw new ForbiddenError();
  }

  return projectRepository.update(projectId, input);
}

На практиці часто використовують змішаний підхід:

• спільні policies;
• local enforcement;
• centralized identity;
• audit;
• shared libraries;
• gateway checks.

Authorization потрібно тестувати так само серйозно, як бізнес-логіку.

Тести мають перевіряти:

• дозволені дії;
• заборонені дії;
• доступ до чужих ресурсів;
• tenant isolation;
• role boundaries;
• field-level permissions;
• admin-only endpoints;
• expired tokens;
• missing scopes;
• changed permissions;
• deleted users;
• edge cases.

Приклад тесту:

User A не може переглянути invoice User B.
Editor не може змінити billing settings.
Viewer не може створити project.
Admin може запросити member.

Authorization впливає на user experience.

Добрий UX:

• пояснює, чому дія недоступна;
• не показує зайві admin controls;
• показує правильні empty states;
• пропонує попросити доступ;
• не розкриває зайві details;
• відрізняє “немає доступу” від “ресурс не існує” там, де це безпечно.

Поганий UX:

• просто показує “Error”;
• показує кнопку, яка завжди завершується 403;
• розкриває існування приватного ресурсу;
• не пояснює, яку роль потрібно мати.

Authorization-події потрібно спостерігати.

Корисні сигнали:

• repeated denied requests;
• access to sensitive resources;
• admin role changes;
• failed policy checks;
• unusual exports;
• cross-tenant access attempts;
• sudden permission changes;
• token misuse;
• service account anomalies.

Основні переваги:

• захист даних;
• контроль доступу;
• менший ризик витоків;
• відповідність compliance;
• безпечна командна робота;
• підтримка ролей;
• зрозуміші межі відповідальності;
• менша шкода при компрометації акаунта;
• auditability;
• кращий UX для різних типів користувачів;
• можливість enterprise-функцій;
• підтримка multi-tenant SaaS.

Погана авторизація може призвести до:

• витоку даних;
• IDOR;
• privilege escalation;
• доступу до чужих акаунтів;
• незаконних змін;
• несанкціонованого export;
• фінансових втрат;
• порушення privacy;
• втрати довіри;
• compliance-проблем;
• компрометації admin panel;
• зламу multi-tenant isolation.

Складніша модель потрібна, якщо є:

• багато ролей;
• багато типів ресурсів;
• teams або organizations;
• multi-tenant architecture;
• sharing;
• admin panel;
• billing roles;
• external integrations;
• compliance;
• sensitive data;
• field-level permissions;
• approval workflows;
• enterprise customers.

Простіша модель доречна, якщо:

• застосунок маленький;
• є тільки owner і viewer;
• немає sharing;
• немає sensitive data;
• немає enterprise customers;
• немає team workspaces;
• немає admin panel;
• продукт ще MVP.

Але навіть у простій моделі потрібно мати:

• перевірку ownership;
• backend authorization;
• least privilege;
• tests;
• audit для важливих дій.

Рекомендовано:

• відділяти authentication від authorization;
• перевіряти доступ на backend;
• використовувати deny by default;
• застосовувати least privilege;
• перевіряти доступ до конкретного resource;
• писати негативні authorization tests;
• не довіряти client-side checks;
• не зберігати зайві права в token без контролю;
• робити audit logs для важливих дій;
• регулярно переглядати roles і permissions;
• уникати однієї ролі admin для всього;
• обмежувати service accounts;
• перевіряти tenant boundary;
• документувати permission model;
• не показувати зайву інформацію в error responses;
• тестувати IDOR-сценарії.

Поширені помилки:

• плутати login з доступом;
• перевіряти права тільки на frontend;
• приховувати кнопку, але не захищати API;
• давати всім admin;
• не перевіряти ownership;
• не перевіряти tenant_id;
• довіряти role з client payload;
• робити hardcoded checks у різних місцях;
• не тестувати заборонені сценарії;
• не логувати admin actions;
• не відрізняти 401 і 403;
• використовувати wildcard permissions без потреби;
• не перевіряти JWT signature;
• зберігати занадто довгі access tokens;
• не відкликати доступ після зміни ролі.

• Authorization починається після authentication, а не замість неї.
• 403 означає, що користувач може бути відомим системі, але дія йому заборонена.
• Frontend authorization покращує UX, але не є security boundary.
• IDOR часто виглядає як звичайний endpoint із параметром ID.
• RBAC простіший для пояснення людям, а ABAC гнучкіший для складних правил.
• Least privilege — один із найважливіших принципів безпеки.
• У SaaS authorization часто складніша за authentication.
• Зміна ролі користувача — це security-sensitive action.
• Audit logs часто стають єдиним способом зрозуміти, хто отримав доступ і що зробив.
• Хороша authorization-модель часто непомітна користувачу, але дуже помітна команді підтримки й безпеки.

Owner може керувати billing і users, Admin може запрошувати учасників, Editor може редагувати контент, Viewer може тільки переглядати.

Покупець може бачити свої замовлення, support agent може переглядати звернення, finance manager може робити refunds, але не змінювати код товарів.

Author може створювати drafts, Editor може редагувати чужі статті, Publisher може публікувати, Admin може керувати plugins і users.

Користувач із organization A не може отримати доступ до project organization B, навіть якщо знає ID project.

CI service account може deploy-ити application, але не може читати billing або видаляти production database.

Roles:
- Owner
- Admin
- Editor
- Viewer

Permissions:
Owner:
- organization.manage
- billing.manage
- users.manage
- project.create
- project.delete

Admin:
- users.manage
- project.create
- project.update

Editor:
- project.read
- project.update
- content.create
- content.update

Viewer:
- project.read
- content.read

function canViewInvoice(user: User, invoice: Invoice): boolean {
  return invoice.userId === user.id || user.permissions.includes("invoice.view_all");
}

Цей приклад показує два варіанти доступу:

• користувач є власником invoice;
• користувач має спеціальний permission для перегляду всіх invoices.

Чи відділена authentication від authorization?
Чи всі protected endpoints перевіряють access?
Чи є resource-level checks?
Чи перевіряється ownership?
Чи перевіряється tenant boundary?
Чи працює deny by default?
Чи є least privilege?
Чи є negative tests?
Чи логуються admin actions?
Чи не довіряємо role з client payload?
Чи перевіряються JWT signature, exp, iss і aud?
Чи не зберігаються зайві permissions у token?
Чи є process для відкликання доступу?
Чи зрозуміла permission model команді?

• Матеріали з application security щодо access control.
• Практики authentication і authorization у web applications.
• Документація щодо RBAC, ABAC, ACL, OAuth scopes, JWT claims і API security.
• Матеріали щодо OWASP access control risks, IDOR, privilege escalation і least privilege.
• Практики cloud IAM, Kubernetes RBAC, database permissions, audit logging і multi-tenant SaaS security.
• Документація щодо secure API design, policy engines, zero trust і security testing.

Authorization — це ключова частина безпеки застосунків, яка визначає, хто має право виконувати конкретні дії над конкретними ресурсами. Вона відрізняється від authentication: спочатку система встановлює особу користувача, а потім перевіряє його права.

Хороша authorization-модель використовує least privilege, deny by default, backend checks, resource-level validation, tenant isolation, audit logs і тести заборонених сценаріїв. Погана авторизація може призвести до IDOR, privilege escalation, витоку даних і небезпечного доступу до admin-функцій.

• Authentication
• Access Control
• Application Security
• RBAC
• ABAC
• ACL
• OAuth
• JWT
• API Security
• Least Privilege
• Privilege Escalation
• IDOR
• OWASP
• Cloud IAM
• Kubernetes RBAC
• Database Security
• Row-Level Security
• Audit Log
• SaaS
• Multi-tenant Architecture
• Frontend
• Backend
• Security Testing
• Приватність даних
• Документація

• Authorization
• Авторизація
• Access Control
• Authentication vs Authorization
• Permissions
• Roles
• RBAC
• ABAC
• ACL
• OAuth Scopes
• JWT Claims
• Policy Engine
• Least Privilege
• Privilege Escalation
• IDOR
• API Authorization
• Backend Authorization
• Frontend Authorization
• Access Token
• Security
• Application Security
• Документація