BugLab
LoginRegister

Аутентификация, авторизация и права

Аутентификация отвечает на вопрос кто пользователь, авторизация - что ему можно. Ошибки в правах часто критичнее визуальных дефектов, потому что приводят к утечке данных, обходу платежей или доступу к чужим действиям.

Что важно понять

  • Login, logout, refresh token, истечение сессии и смену пароля.
  • Роли, права, владение ресурсом, доступ к чужим объектам.
  • Разницу между UI-ограничением и backend-проверкой.
  • Audit log, уведомления и блокировку подозрительных действий.

Рабочий порядок

  1. Соберите матрицу ролей и ресурсов.
  2. Проверьте доступ через UI и прямой API-запрос.
  3. Проверьте смену состояния: роль изменили, сессию отозвали, объект передали другому владельцу.
  4. Фиксируйте дефекты с конкретным пользователем, ролью и resource id.

Что отдавать команде

  • Permission matrix.
  • API-примеры для разрешённых и запрещённых действий.
  • Баг-репорты с business impact для нарушения доступа.

Частые провалы

  • Проверять права только скрытием кнопки.
  • Не тестировать доступ к чужому id через прямой запрос.
  • Забывать про старые сессии после изменения роли.

Практика

Создайте двух пользователей с разными ролями и попробуйте получить, изменить и удалить объект друг друга через UI и API.