Kaip veikia prieigos kontrolė (RBAC, mažiausios privilegijos principas)?

Question

Accepted Answer

**Prieigos kontrolė** nustato, ką gali daryti autentifikuoti naudotojai — per modelius kaip **RBAC** (Vaidmeniui pagrindinė prieigos kontrolė) ir principus kaip **mažiausios privilegijos**. Tinkama prieigos kontrolė yra labai svarbi, nes sulaužyta prieigos kontrolė yra OWASP #1 pažeidžiamybė.

## Prieigos kontrolės modeliai

```text
RBAC (Role-Based Access Control) → assign users to ROLES; roles have PERMISSIONS:
  → user → role(s) (admin, editor, viewer) → permissions → access decisions
  → manageable, common; change a role's permissions, all its users update
ABAC (Attribute-Based) → decisions based on ATTRIBUTES (user, resource, context) → flexible,
  fine-grained (e.g. "editors can edit docs in their department during business hours")
ACLs → per-resource lists of who can do what
```

## Mažiausios privilegijos principas

```text
LEAST PRIVILEGE → grant the MINIMUM access needed to do the job, nothing more:
  → limits the BLAST RADIUS if an account/component is compromised
  → applies to users, services, processes, database accounts, API keys, etc.
→ a foundational security principle (default to LESS access; grant more only as needed)
```

## Prieigos kontrolės saugus įgyvendinimas

```text
⚠️ BROKEN ACCESS CONTROL is OWASP #1 — common and serious:
✓ ENFORCE authorization on the SERVER for EVERY protected action/resource (never trust
  the client; don't rely on hiding UI elements)
✓ Check the user is authorized for the SPECIFIC resource (prevent IDOR — accessing
  others' data by changing an ID)
✓ DENY by default; verify on each request; centralize authorization logic
✓ Test access control (a common gap — easy to miss authorization checks)
```

## Kodėl tai svarbu

Suprasti prieigos kontrolę svarbu, nes ji **nustato, ką gali daryti naudotojai, ir yra kritinė saugumui** — sulaužyta prieigos kontrolė yra OWASP #1 pažeidžiamybė — todėl tai yra vertinga, praktinė saugumo žinios.

Prieigos kontrolė nustato, ką gali daryti autentifikuoti naudotojai, ir tai užtikrinti yra esminė.

Suprasti **modelius** — **RBAC** (naudotojų priskyrimą vaidmenims, turintiems teises — valdomas ir dažnas), **ABAC** (atributais paremtus sprendimus dėl lankstaus, detalizuoto kontrolės), ir ACL (kiekvieno ištekliaus leidimų sąrašus) — suteikia sistemos teisių struktūrizavimui, o RBAC yra dažniausias suprasti.

Suprasti **mažiausios privilegijos principą** — nuteisimo **minimalią reikalingą prieigą**, kuri **riboja keliamą pavojų, jei paskyra arba komponentas yra sukomprometinti** — yra pagrindinė saugumo principas, taikomas plačiai (naudotojai, tarnybos, duomenų bazės paskyros, API raktai), ir vienas iš svarbiausių saugumo koncepcijų.

Kritinai svarbu suprasti, kaip **saugiai įgyvendinti prieigos kontrolę** — tai sprendžia #1 pažeidžiamybę: **autorizacijos įgyvendinimas serveryje kiekvienam apsaugotam veiksmui** (niekada nepasitikint klientu arba neremiantis paslėptomis UI — dažnos klaidos), **autorizacijos patikrinimas konkrečiam ištekliui** (keliavimas IDOR, kur naudotojai pasikeitę ID pasiekia kitų duomenis — dažnos sulaužtos prieigos kontrolės klaidos), **numatytasis neigiama nuostata**, patvirtinimas su kiekviena užklauša, ir **prieigos kontrolės testavimas** (dažna spraga, nes praleisti autorizacijos patikrinimai yra lengvi nepastebėti).

Cadangi prieigos kontrolė nustato, ką gali daryti naudotojai, ir sulaužyta prieigos kontrolė yra viršutinė pažeidžiamybė (dažna ir rimta), ir kadangi modelių supratimas (RBAC), mažiausios privilegijos principas ir saugus įgyvendinimas (serverio prieigos įgyvendinimas, išteklių specifiniai patikrinimai, numatytoji neigiama nuostata) yra kritiniai saugumui, prieigos kontrolės supratimas yra vertinga, praktinė saugumo žinios — sprendžiant #1 saugumo riziką, esminė naudotojų galimybėms kontroliuoti, ir būtina keliavimui sulaužtos prieigos kontrolės klaidų (kaip IDOR ir praleistų autorizacijos patikrinimų), kurie yra tarp dažniausių ir pačių rimčiausių pažeidžiamybių.