Nawet je\u015bli Tw\u00f3j kod jest nieskazitelny, przeszed\u0142 wszystkie testy jednostkowe, a lintery nie znajduj\u0105 w nim ani jednej zb\u0119dnej spacji, aplikacja wci\u0105\u017c mo\u017ce sta\u0107 si\u0119 \u017ar\u00f3d\u0142em problem\u00f3w. Dlaczego? Bo techniczna poprawno\u015b\u0107 to tylko po\u0142owa sukcesu – drug\u0105 jest kontrola nad tym, w czyje r\u0119ce oddajesz gotowe narz\u0119dzia.<\/p>\n\n\n\n
Wyobra\u017a sobie sytuacj\u0119, w kt\u00f3rej u\u017cytkownik Twojej aplikacji nagle usuwa popisowy przepis drugiego u\u017cytkownika, a nowo zarejestrowany go\u015b\u0107 zmienia konfiguracj\u0119 ca\u0142ego systemu. Kompletny chaos – dlaczego? Zabrak\u0142o solidnego systemu zarz\u0105dzania uprawnieniami.<\/p>\n\n\n\n
Zarz\u0105dzanie dost\u0119pem to jak bycie mened\u017cerem restauracji – to Ty decydujesz, kto wchodzi na sal\u0119, kto ma prawo wej\u015b\u0107 na zaplecze, a kto dostaje klucze do spi\u017carni. Niezale\u017cnie od tego, czy budujesz ma\u0142\u0105 aplikacj\u0119, czy ogromny system korporacyjny, musisz wdro\u017cy\u0107 pancerne drzwi i logiczny mechanizm nadawania uprawnie\u0144. W tym rozdziale dowiesz si\u0119, jak zbudowa\u0107 system, kt\u00f3ry przetrwa ka\u017cd\u0105 kuchenn\u0105 rewolucj\u0119.<\/p>\n\n\n\n
Zanim zaczniesz pisa\u0107 skomplikowane systemy zarz\u0105dzania, musisz zrozumie\u0107 dwa fundamentalne, ca\u0142kowicie r\u00f3\u017cne procesy, kt\u00f3re zawsze nast\u0119puj\u0105 po sobie w \u015bci\u015ble okre\u015blonej kolejno\u015bci:<\/p>\n\n\n\n
Uwierzytelnianie <\/strong>to proces weryfikacji to\u017csamo\u015bci. Go\u015b\u0107 podchodz\u0105cy do drzwi Twojej aplikacji musi udowodni\u0107, kim jest, podaj\u0105c np. e-mail i has\u0142o. Dodatkowo mo\u017cna do\u0142\u0105czy\u0107 weryfikacj\u0119 2FA np. przesy\u0142aj\u0105c kod dost\u0119pu na adres e-mail. Powszechnie wdra\u017ca si\u0119 te\u017c protok\u00f3\u0142 OAuth2, pozwalaj\u0105cy zalogowa\u0107 si\u0119 do aplikacji przez konto Google czy GitHub, dzi\u0119ki temu Tw\u00f3j system w og\u00f3le nie przetwarza cudzych hase\u0142, a jedynie otrzymuje token potwierdzaj\u0105cy to\u017csamo\u015b\u0107.. Dopiero gdy dane si\u0119 zgadzaj\u0105, drzwi uchylaj\u0105 si\u0119 na tyle, by wpu\u015bci\u0107 go do \u015brodka.<\/p>\n\n\n\n Wa\u017cna zasada<\/strong>: Has\u0142a to „produkty \u0142atwo psuj\u0105ce si\u0119\u201d – nigdy nie przechowuj ich w czystym tek\u015bcie! System powinien zapisywa\u0107 jedynie skr\u00f3ty hase\u0142 (hasze<\/strong>). Dzi\u0119ki temu, nawet je\u015bli kto\u015b w\u0142amie si\u0119 do bazy, nie pozna prawdziwego has\u0142a u\u017cytkownika.<\/p>\n\n\n\n Dopiero po potwierdzeniu to\u017csamo\u015bci wkracza Autoryzacja<\/strong>, czyli ustalenie: „Co wolno Ci zrobi\u0107 w tej kuchni?\u201d. Ten podzia\u0142 jest kluczowy, by utrzyma\u0107 porz\u0105dek w systemie. Podobnie jak w architekturze tr\u00f3jwarstwowej oddzielamy frontend od logiki biznesowej, tak w zarz\u0105dzaniu u\u017cytkownikami musimy oddzieli\u0107 fakt bycia zalogowanym od posiadania konkretnych uprawnie\u0144.<\/p>\n\n\n\n Uwaga:<\/strong> Uwierzytelnianie zawsze dzieje si\u0119 jako pierwsze. Najpierw pytasz, kim kto\u015b jest, a dopiero potem decydujesz, co mo\u017ce zrobi\u0107.<\/p>\n\n\n\n Zanim wpu\u015bcimy u\u017cytkownik\u00f3w do systemu, musimy ustali\u0107, jakie narz\u0119dzia oddamy w ich r\u0119ce. W in\u017cynierii oprogramowania uprawnienia zazwyczaj sprowadzaj\u0105 si\u0119 do czterech fundamentalnych akcji (znanych jako CRUD<\/strong>):<\/p>\n\n\n\n Pocz\u0105tkuj\u0105cy tw\u00f3rcy aplikacji zak\u0142adaj\u0105, \u017ce wystarcz\u0105 im dwa rodzaje u\u017cytkownik\u00f3w: „Admin” (kt\u00f3ry mo\u017ce wszystko) i „Zwyk\u0142y U\u017cytkownik” (kt\u00f3ry mo\u017ce niewiele). Szybko podwa\u017cymy ten schemat. Gdy aplikacja ro\u015bnie, taki podzia\u0142 to za ma\u0142o i prowadzi do tworzenia tzw. „spaghetti kodu” pe\u0142nego warunk\u00f3w. W bran\u017cy stosuje si\u0119 sprawdzone modele.<\/p>\n\n\n\n To najpopularniejsze podej\u015bcie. Zamiast przypisywa\u0107 uprawnienia ka\u017cdej osobie z osobna, tworzymy role i przypisuje je u\u017cytkownikom. <\/p>\n\n\n\n To podej\u015bcie jest niezwykle skalowalne. Gdy Twoja aplikacja uro\u015bnie do rozmiar\u00f3w „kulinarnego imperium\u201d, nie musisz programowa\u0107 uprawnie\u0144 dla ka\u017cdego nowego u\u017cytkownika z osobna – po prostu przypisujesz go do istniej\u0105cego stanowiska.<\/p>\n\n\n\n Co jednak w sytuacji, gdy chcesz, aby u\u017cytkownik m\u00f3g\u0142 usun\u0105\u0107 przepis, ale tylko ten, kt\u00f3ry sam stworzy\u0142? RBAC tutaj zawodzi, bo „Edytor” m\u00f3g\u0142by usun\u0105\u0107 wszystko. Z pomoc\u0105 przychodzi ABAC. W tym modelu dost\u0119p zale\u017cy od atrybut\u00f3w: kim jeste\u015b, co chcesz zrobi\u0107 i jakie s\u0105 warunki.<\/p>\n\n\n\n System sprawdza:<\/strong> Czy ID autora przepisu zgadza si\u0119 z ID aktualnie zalogowanego u\u017cytkownika? Je\u015bli tak \u2013 przycisk „Usu\u0144” staje si\u0119 aktywny. To pot\u0119\u017cne narz\u0119dzie, kt\u00f3re daje ogromn\u0105 elastyczno\u015b\u0107.<\/p>\n\n\n\n Je\u015bli Twoja ksi\u0105\u017cka kucharska ma dzia\u0142a\u0107 jak Google Docs, gdzie udost\u0119pniasz konkretny element tylko wybranym osobom, u\u017cyjesz list kontroli dost\u0119pu (ACL<\/strong>). Ka\u017cdy przepis ma swoj\u0105 prywatn\u0105 list\u0119 zaproszonych go\u015bci z przypisanymi prawami (np. Alicja mo\u017ce edytowa\u0107, Bob tylko czyta\u0107).<\/p>\n\n\n\n Aplikacja musi w jaki\u015b spos\u00f3b „pami\u0119ta\u0107”, \u017ce jeste\u015b zalogowany, gdy przechodzisz mi\u0119dzy ekranami. Wsp\u00f3\u0142czesne systemy robi\u0105 to za pomoc\u0105 token\u00f3w \u2013 specjalnych cyfrowych dokument\u00f3w, kt\u00f3re aplikacja przesy\u0142a w tle:<\/p>\n\n\n\n Podsumowuj\u0105c rozw\u00f3j naszej aplikacji na tym etapie, musisz wdro\u017cy\u0107 kilka kluczowych praktyk, aby nie stworzy\u0107 zautomatyzowanego ba\u0142aganu<\/p>\n\n\n\n Nasz produkt zanotowa\u0142 ogromny przyrost! Zbudowali\u015bmy logiczny system zarz\u0105dzania u\u017cytkownikami. Skonfigurowali\u015bmy role, zabezpieczyli\u015bmy aplikacj\u0119 przed nieautoryzowanym dost\u0119pem i pozwolili\u015bmy ludziom bezpiecznie ze sob\u0105 wsp\u00f3\u0142pracowa\u0107. Nasza cyfrowa ksi\u0105\u017cka kucharska nie jest ju\u017c tylko prywatnym notatnikiem, ale bezpieczn\u0105 platform\u0105 dla wielu os\u00f3b. Materia\u0142y do samodzielnej nauki zwi\u0105zane z tym tematem:<\/p>\n\n\n\n Wst\u0119p – Zarz\u0105dzanie u\u017cytkownikami, czyli kto ma klucze do Twojej cyfrowej kuchni? Nawet je\u015bli Tw\u00f3j kod jest nieskazitelny, przeszed\u0142 wszystkie testy jednostkowe, a lintery nie znajduj\u0105 w nim ani jednej zb\u0119dnej spacji, aplikacja wci\u0105\u017c mo\u017ce sta\u0107 si\u0119 \u017ar\u00f3d\u0142em problem\u00f3w. Dlaczego? Bo techniczna poprawno\u015b\u0107 to tylko po\u0142owa sukcesu – drug\u0105 jest kontrola nad tym, w czyje […]<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":415,"menu_order":9,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-499","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/nuplo.org\/pl\/wp-json\/wp\/v2\/pages\/499","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nuplo.org\/pl\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nuplo.org\/pl\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nuplo.org\/pl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/nuplo.org\/pl\/wp-json\/wp\/v2\/comments?post=499"}],"version-history":[{"count":6,"href":"https:\/\/nuplo.org\/pl\/wp-json\/wp\/v2\/pages\/499\/revisions"}],"predecessor-version":[{"id":817,"href":"https:\/\/nuplo.org\/pl\/wp-json\/wp\/v2\/pages\/499\/revisions\/817"}],"up":[{"embeddable":true,"href":"https:\/\/nuplo.org\/pl\/wp-json\/wp\/v2\/pages\/415"}],"wp:attachment":[{"href":"https:\/\/nuplo.org\/pl\/wp-json\/wp\/v2\/media?parent=499"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Autoryzacja (Authorization): Co wolno Ci robi\u0107?<\/h3>\n\n\n\n
Cztery podstawowe narz\u0119dzia kucharza (Uprawnienia)<\/h3>\n\n\n\n
\n
Podwa\u017camy za\u0142o\u017cenia: Jak zorganizowa\u0107 personel?<\/h2>\n\n\n\n
RBAC (Role-Based Access Control), czyli system przypisania do stanowiska<\/h3>\n\n\n\n
\n
\n
\n
ABAC (Attribute-Based Access Control), czyli dost\u0119p szyty na miar\u0119<\/h3>\n\n\n\n
ACL (Access Control Lists), czyli lista go\u015bci<\/h3>\n\n\n\n
Bilety wst\u0119pu: Jak system rozpoznaje u\u017cytkownik\u00f3w?<\/h2>\n\n\n\n
\n
\n
Dobre Rady Szefa: Zasady bezpiecze\u0144stwa<\/h3>\n\n\n\n
\n
\n
Podsumowanie<\/h3>\n\n\n\n
Jednak nawet najdoskonalszy system uprawnie\u0144 nie ochroni nas przed jednym: awari\u0105 sprz\u0119tu lub przypadkowym b\u0142\u0119dem w kodzie, kt\u00f3ry uszkodzi nasze dane. Skoro mamy ju\u017c pewno\u015b\u0107, \u017ce do naszej kuchni wchodz\u0105 tylko zaufani go\u015bcie, czas zadba\u0107 o to, by ich drogocenne przepisy nigdy nie znikn\u0119\u0142y – nawet je\u015bli ca\u0142y budynek nagle zniknie z mapy. Przejd\u017amy zatem do tematu backup\u00f3w<\/strong>, czyli jak zbudowa\u0107 cyfrowy sejf, kt\u00f3ry przetrwa ka\u017cd\u0105 burz\u0119.<\/p>\n\n\n\nMateria\u0142y<\/h2>\n\n\n\n
\n