ਐਕਸੈਸ ਕੰਟਰੋਲ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ (RBAC, least privilege)?

Question

Accepted Answer

**Access control** ਉਸ ਚੀਜ਼ ਨੂੰ ਨਿਯੰਤ੍ਰਿਤ ਕਰਦਾ ਹੈ ਜੋ ਪ੍ਰਮਾਣਿਤ ਉਪਯੋਗਕਰਤਾ ਕਰ ਸਕਦੇ ਹਨ — **RBAC** (Role-Based Access Control) ਜਿਵੇਂ ਮਾਡਲਾਂ ਅਤੇ **least privilege** ਜਿਵੇਂ ਸਿਧਾਂਤਾਂ ਦੇ ਜ਼ਰੀਏ। ਸਹੀ access control ਮਹੱਤਵਪੂਰਨ ਹੈ, ਕਿਉਂਕਿ broken access control OWASP ਦੀ #1 ਕਮਜ਼ੋਰੀ ਹੈ।

## Access control ਮਾਡਲ

```text
RBAC (Role-Based Access Control) → assign users to ROLES; roles have PERMISSIONS:
  → user → role(s) (admin, editor, viewer) → permissions → access decisions
  → manageable, common; change a role's permissions, all its users update
ABAC (Attribute-Based) → decisions based on ATTRIBUTES (user, resource, context) → flexible,
  fine-grained (e.g. "editors can edit docs in their department during business hours")
ACLs → per-resource lists of who can do what
```

## Least privilege ਦਾ ਸਿਧਾਂਤ

```text
LEAST PRIVILEGE → grant the MINIMUM access needed to do the job, nothing more:
  → limits the BLAST RADIUS if an account/component is compromised
  → applies to users, services, processes, database accounts, API keys, etc.
→ a foundational security principle (default to LESS access; grant more only as needed)
```

## Access control ਨੂੰ ਸੁਰੱਖਿਤ ਤਰੀਕੇ ਨਾਲ ਲਾਗੂ ਕਰਨਾ

```text
⚠️ BROKEN ACCESS CONTROL is OWASP #1 — common and serious:
✓ ENFORCE authorization on the SERVER for EVERY protected action/resource (never trust
  the client; don't rely on hiding UI elements)
✓ Check the user is authorized for the SPECIFIC resource (prevent IDOR — accessing
  others' data by changing an ID)
✓ DENY by default; verify on each request; centralize authorization logic
✓ Test access control (a common gap — easy to miss authorization checks)
```

## ਇਹ ਮਹੱਤਵਪੂਰਨ ਕਿਉਂ ਹੈ

Access control ਨੂੰ ਸਮਝਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿਉਂਕਿ ਇਹ **ਉਪਯੋਗਕਰਤਾਵਾਂ ਨੂੰ ਕੀ ਕਰਨਾ ਹੈ ਇਸ ਨੂੰ ਨਿਯੰਤ੍ਰਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਸੁਰੱਖਿਆ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ** — broken access control OWASP ਦੀ #1 ਕਮਜ਼ੋਰੀ ਹੈ — ਇਸਲਈ ਇਹ ਮੁੱਲਵਾਨ, ਵਿਅਕਤੀਗਤ ਤੌਰ 'ਤੇ-ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਗਿਆਨ ਹੈ।

Access control ਨਿਰਧਾਰਿਤ ਕਰਦਾ ਹੈ ਕਿ ਪ੍ਰਮਾਣਿਤ ਉਪਯੋਗਕਰਤਾਵਾਂ ਨੂੰ ਕੀ ਕਰਨ ਦੀ ਆਗਿਆ ਹੈ, ਅਤੇ ਇਸ ਨੂੰ ਸਹੀ ਪ੍ਰਾਪਤ ਕਰਨਾ ਜ਼ਰੂਰੀ ਹੈ।

**ਮਾਡਲਾਂ** ਨੂੰ ਸਮਝਣਾ — **RBAC** (ਭੂਮਿਕਾਵਾਂ ਨੂੰ ਉਪਯੋਗਕਰਤਾਵਾਂ ਨਿਯੁਕਤ ਕਰਨਾ ਜਿਨ੍ਹਾਂ ਕੋਲ ਅਨੁਮਤੀਆਂ ਹਨ — ਪ੍ਰਬੰਧਨਯੋਗ ਅਤੇ ਆਮ), **ABAC** (ਲਚਕਦਾਰ, ਵਿਸਥਾਰਵਾਰ ਨਿਯੰਤ੍ਰਣ ਲਈ ਵਿਸ਼ੇਸ਼ਤਾ-ਅਧਾਰਿਤ ਫ਼ੈਸਲਿਆਂ), ਅਤੇ ACLs (ਪ্রਤ್ಯೇક-ਸੰਸਾਧਨ ਅਨੁਮਤੀ ਸੂਚੀ) — ਅਨੁਮਤੀਆਂ ਨੂੰ ਢਾਂਚਾ ਦੇਣ ਲਈ ਫ਼ਰੇਮਵਰਕ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ RBAC ਸਭ ਤੋਂ ਆਮ ਹੈ।

**Least privilege ਦੇ ਸਿਧਾਂਤ** ਨੂੰ ਸਮਝਣਾ — **ਘੱਟੋ-ਘੱਟ ਲੋੜੀਂਦੀ ਐਕਸੈਸ** ਦੀ ਦਾਤ ਦੇਣਾ, ਜੋ **ਜੇਕਰ ਕੋਈ ਖਾਤਾ ਜਾਂ ਭਾਗ ਨੁਕਸਾਨ ਹੋ ਜਾਵੇ ਤਾਂ ਬਲਾਸਟ ਘੇਰੇ ਨੂੰ ਸੀਮਿਤ ਕਰਦਾ ਹੈ** — ਇੱਕ ਬੁਨਿਆਦੀ ਸੁਰੱਖਿਆ ਸਿਧਾਂਤ ਹੈ ਜੋ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਲਾਗੂ ਹੁੰਦਾ ਹੈ (ਉਪਯੋਗਕਰਤਾ, ਸੇਵਾਵਾਂ, ਡਾਟਾਬੇਸ ਖਾਤੇ, API ਕੁੰਜੀਆਂ), ਅਤੇ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਧਾਰਨਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ।

ਅਲੋਚਨਾਤਮਕ ਤਰੀਕੇ ਨਾਲ, **access control ਨੂੰ ਸੁਰੱਖਿਤ ਤਰੀਕੇ ਨਾਲ ਕਿਵੇਂ ਲਾਗੂ ਕਰਨਾ ਹੈ** ਇਸ ਨੂੰ ਸਮਝਣਾ #1 ਕਮਜ਼ੋਰੀ ਨੂੰ ਸੰਬੋਧਿਤ ਕਰਦਾ ਹੈ: **ਹਰੇਕ ਸੁਰੱਖਿਤ ਕਾਰਜ ਲਈ ਸਰਵਰ 'ਤੇ ਪ੍ਰਮਾਣੀਕਰਣ ਲਾਗੂ ਕਰਨਾ** (ਕਦੇ ਕਲਾਇੰਟ ਨੂੰ ਵਿਸ਼ਵਾਸ ਨਾ ਕਰਨਾ ਜਾਂ ਲੁਕਵੀਂ UI 'ਤੇ ਨਿਰਭਰ ਨਾ ਹੋਣਾ — ਇੱਕ ਆਮ ਗਲਤੀ), **ਖਾਸ ਸੰਸਾਧਨ ਲਈ ਪ੍ਰਮਾਣੀਕਰਣ ਦੀ ਜਾਂਚ ਕਰਨਾ** (IDOR ਨੂੰ ਰੋਕਣਾ, ਜਿੱਥੇ ਉਪਯੋਗਕਰਤਾ ID ਬਦਲ ਕੇ ਦੂਸਰਿਆਂ ਦਾ ਡਾਟਾ ਐਕਸੈਸ ਕਰਦੇ ਹਨ — ਇੱਕ ਅਕਸਰ broken-access-control ਤਰੁਟੀ), **ਪੂਰਵ ਨਿਰਧਾਰਨ ਦੁਆਰਾ ਇਨਕਾਰ ਕਰਨਾ**, ਹਰ ਬਿਨੈ 'ਤੇ ਪ੍ਰਮਾਣੀਕਰਣ ਕਰਨਾ, ਅਤੇ **access control ਦੀ ਜਾਂਚ ਕਰਨਾ** (ਇੱਕ ਆਮ ਮੰਦਾ, ਕਿਉਂਕਿ ਅਨੁਮਤੀਆਂ ਦੀ ਜਾਂਚ ਛੱਡਣਾ ਆਸਾਨ ਹੈ)।

ਕਿਉਂਕਿ access control ਉਪਯੋਗਕਰਤਾਵਾਂ ਦੀ ਕੀ ਕੀ ਨਿਯੰਤ੍ਰਿਤ ਕਰਦਾ ਹੈ ਅਤੇ broken access control ਸ਼ੀਰਸ਼ ਕਮਜ਼ੋਰੀ ਹੈ (ਆਮ ਅਤੇ ਗੰਭੀਰ), ਅਤੇ ਮਾਡਲਾਂ (RBAC), least-privilege ਸਿਧਾਂਤ, ਅਤੇ ਸੁਰੱਖਿਤ ਲਾਗੂ ਕਰਨ (ਸਰਵਰ-ਸਾਈਡ ਪ੍ਰਵਸਥਾ, ਸੰਸਾਧਨ-ਖਾਸ ਜਾਂਚ, ਪੂਰਵ ਨਿਰਧਾਰਨ ਦੁਆਰਾ ਇਨਕਾਰ) ਨੂੰ ਸਮਝਣਾ ਸੁਰੱਖਿਆ ਲਈ ਜ਼ਰੂਰੀ ਹੈ, access control ਨੂੰ ਸਮਝਣਾ ਮੁੱਲਵਾਨ, ਵਿਅਕਤੀਗਤ ਤੌਰ 'ਤੇ-ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਗਿਆਨ ਹੈ — #1 ਸੁਰੱਖਿਆ ਜੋਖਮ ਨੂੰ ਸੰਬੋਧਿਤ ਕਰਦਾ ਹੋਇਆ, ਉਪਯੋਗਕਰਤਾਵਾਂ ਨੂੰ ਕੀ ਕਰਨਾ ਹੈ ਇਸ ਨੂੰ ਨਿਯੰਤ੍ਰਿਤ ਕਰਨ ਲਈ ਬੁਨਿਆਦੀ, ਅਤੇ broken-access-control ਦੱਸਿਆਂ (IDOR ਅਤੇ ਅਨੁਮਤੀ ਦੀ ਜਾਂਚ ਛੱਡਣਾ) ਤੋਂ ਬਚਨ ਲਈ ਜ਼ਰੂਰੀ, ਜੋ ਸਭ ਤੋਂ ਆਮ ਅਤੇ ਗੰਭੀਰ ਕਮਜ਼ੋਰੀਆਂ ਹਨ।