Access control कसरी काम गर्छ (RBAC, least privilege)?

Question

Accepted Answer

**Access control** ले प्रमाणित गरिएका प्रयोगकर्ताहरूले के गर्न सक्छन् भनी नियन्त्रण गर्छ — **RBAC** (Role-Based Access Control) जस्ता मोडेलहरू र **least privilege** जस्ता सिद्धान्तहरूको माध्यमबाट। सही access control गुरुत्वपूर्ण छ, किनकि टुट्टेको access control OWASP को #1 vulnerability हो।

## Access control मोडेलहरू

```text
RBAC (Role-Based Access Control) → assign users to ROLES; roles have PERMISSIONS:
  → user → role(s) (admin, editor, viewer) → permissions → access decisions
  → manageable, common; change a role's permissions, all its users update
ABAC (Attribute-Based) → decisions based on ATTRIBUTES (user, resource, context) → flexible,
  fine-grained (e.g. "editors can edit docs in their department during business hours")
ACLs → per-resource lists of who can do what
```

## Least privilege को सिद्धान्त

```text
LEAST PRIVILEGE → grant the MINIMUM access needed to do the job, nothing more:
  → limits the BLAST RADIUS if an account/component is compromised
  → applies to users, services, processes, database accounts, API keys, etc.
→ a foundational security principle (default to LESS access; grant more only as needed)
```

## Access control सुरक्षित रूपमा लागू गर्ने

```text
⚠️ BROKEN ACCESS CONTROL is OWASP #1 — common and serious:
✓ ENFORCE authorization on the SERVER for EVERY protected action/resource (never trust
  the client; don't rely on hiding UI elements)
✓ Check the user is authorized for the SPECIFIC resource (prevent IDOR — accessing
  others' data by changing an ID)
✓ DENY by default; verify on each request; centralize authorization logic
✓ Test access control (a common gap — easy to miss authorization checks)
```

## यो किन महत्त्वपूर्ण छ

Access control बुझ्न महत्त्वपूर्ण छ किनकि यो **प्रयोगकर्ताहरूले के गर्न सक्छन् भनी नियन्त्रण गर्छ र सुरक्षाको लागि महत्वपूर्ण छ** — टुट्टेको access control OWASP को #1 vulnerability हो — त्यसैले यो मूल्यवान, व्यावहारिक रूपमा महत्वपूर्ण सुरक्षा ज्ञान हो।

Access control ले प्रमाणित गरिएका प्रयोगकर्ताहरूले के गर्न अनुमति पाइरहेका छन् भनी निर्धारण गर्छ, र यो सही गर्न आवश्यक छ।

**मोडेलहरू** बुझ्न — **RBAC** (प्रयोगकर्ताहरूलाई भूमिकामा तोक्ने जससँग अनुमतिहरू छन् — व्यवस्थापनयोग्य र साधारण), **ABAC** (लचकदार, सूक्ष्म नियन्त्रणको लागि विशेषता-आधारित निर्णयहरू), र ACLs (प्रति-स्रोत अनुमति सूचीहरू) — अनुमतिहरू संरचना गर्नको लागि ढाँचाहरू प्रदान गर्छ, RBAC सबैभन्दा साधारण हो।

**Least privilege को सिद्धान्त** बुझ्न — **न्यूनतम आवश्यक पहुँच प्रदान गर्ने**, जो **खाता वा घटक समझौता भएको अवस्थामा blast radius सीमित गर्छ** — एक आधारभूत सुरक्षा सिद्धान्त हो जो व्यापक रूपमा लागू हुन्छ (प्रयोगकर्ता, सेवाहरू, डाटाबेस खाताहरू, API keys), र सबैभन्दा महत्त्वपूर्ण सुरक्षा अवधारणाहरू मध्ये एक हो।

आलोचनात्मक रूपमा, **access control सुरक्षित रूपमा कसरी लागू गर्ने** भनी बुझ्न #1 vulnerability को सम्बोधन गर्छ: **प्रत्येक सुरक्षित कार्यको लागि सर्भरमा अधिकार लागू गर्न** (कहिले पनि क्लायन्टलाई विश्वास नगर्न वा लुकाइएको UI मा निर्भर नहुन — एक साधारण गलती), **विशेष स्रोतको लागि अधिकार जाँच गर्न** (IDOR रोक्न, जहाँ प्रयोगकर्ताहरू ID परिवर्तन गरेर अन्यको डाटा पहुँच गर्छन् — एक बारम्बार टुट्टेको access control त्रुटि), **पूर्वनिर्धारित रूपमा अस्वीकार गर्न**, प्रत्येक अनुरोधमा सत्यापन गर्न, र **access control परीक्षण गर्न** (एक साधारण अंतर, किनकि हराउँको अधिकार जाँचहरू बेखबर हुन सजिलो हुन्छ)।

किनकि access control ले प्रयोगकर्ताहरूले के गर्न सक्छन् भनी नियन्त्रण गर्छ र टुट्टेको access control शीर्ष vulnerability हो (साधारण र गुरुतर), र किनकि मोडेलहरू बुझ्न (RBAC), least-privilege सिद्धान्त, र सुरक्षित लागू गर्न (सर्भर-साइड कार्यान्वयन, स्रोत-विशेष जाँचहरू, पूर्वनिर्धारित अस्वीकार) महत्वपूर्ण छ, access control बुझ्न मूल्यवान, व्यावहारिक रूपमा महत्वपूर्ण सुरक्षा ज्ञान हो — #1 सुरक्षा जोखिमको सम्बोधन गर्दै, प्रयोगकर्ताहरूले के गर्न सक्छन् भनी नियन्त्रण गर्नमा आधारभूत, र टुट्टेको access control त्रुटिहरू (जस्तै IDOR र हराउँको अधिकार जाँचहरू) बेवास्ता गर्नको लागि आवश्यक जो सबैभन्दा साधारण र गुरुतर vulnerabilities मध्ये हुन्छन्।