Сеня рядом и Белла пришел. Былое
Безопасная авторизация в современных мобильных приложениях: миф или реальность?
Мы привыкли доверять приложениям, которые установили на свои гаджеты. Порой обоснованно, порой не очень. Если посмотреть документацию на API авторизации какого-нибудь крупного российского банка или соцсети, то можно увидеть Oauth 2.0, OIDC, authorization code flow и т.д. К сожалению, в большинстве случаев это либо не соответствует действительности вообще, либо частично. Как будто-то за всеми этим упускается один важный момент, и сегодня мы поговорим об этом более подробно. Пару лет назад я начал...
Авторизация: За дверью с табличкой "Доступ ограничен"
Коллеги, разработчики, заказчики! Сегодня поговорим о краеугольном камне безопасности и функциональности любого современного приложения – об авторизации. Если аутентификация отвечает на вопрос "Кто ты?" (проверяя логин/пароль, отпечаток, токен), то авторизация решает куда более тонкую задачу: "Что тебе можно делать?". Представьте роскошный офис. Аутентификация – это пропуск на входе в здание. Он подтверждает, что вы сотрудник компании. Но вот вы внутри. Можете ли вы зайти в кабинет генерального...