Access control hoạt động như thế nào (RBAC, least privilege)?

Question

Accepted Answer

**Access control** quản lý những gì người dùng đã xác thực có thể làm — thông qua các mô hình như **RBAC** (Role-Based Access Control) và các nguyên tắc như **least privilege**. Access control đúng cách là then chốt, vì broken access control là lỗ hổng #1 của OWASP.

## Các mô hình access control

```text
RBAC (Role-Based Access Control) → gán người dùng vào các ROLE; role có các PERMISSION:
  → user → role(s) (admin, editor, viewer) → permissions → quyết định truy cập
  → dễ quản lý, phổ biến; đổi permissions của một role, mọi user của nó cập nhật theo
ABAC (Attribute-Based) → quyết định dựa trên THUỘC TÍNH (user, tài nguyên, ngữ cảnh) → linh hoạt,
  chi tiết (ví dụ "editor có thể sửa tài liệu trong phòng ban của họ trong giờ làm việc")
ACLs → danh sách theo từng tài nguyên về ai được làm gì
```

## Nguyên tắc least privilege

```text
LEAST PRIVILEGE → cấp quyền truy cập TỐI THIỂU cần thiết để làm việc, không hơn:
  → giới hạn BÁN KÍNH THIỆT HẠI nếu một tài khoản/thành phần bị xâm phạm
  → áp dụng cho người dùng, services, processes, tài khoản database, API keys, v.v.
→ một nguyên tắc bảo mật nền tảng (mặc định ÍT quyền hơn; cấp thêm chỉ khi cần)
```

## Triển khai access control an toàn

```text
⚠️ BROKEN ACCESS CONTROL là OWASP #1 — phổ biến và nghiêm trọng:
✓ THỰC THI authorization trên SERVER cho MỌI hành động/tài nguyên được bảo vệ (đừng tin
  client; đừng dựa vào việc ẩn các phần tử UI)
✓ Kiểm tra người dùng được phép cho tài nguyên CỤ THỂ (ngăn IDOR — truy cập
  dữ liệu của người khác bằng cách đổi một ID)
✓ TỪ CHỐI mặc định; xác minh trên mỗi request; tập trung hóa logic authorization
✓ Test access control (một lỗ hổng phổ biến — dễ bỏ sót các kiểm tra authorization)
```

## Tại sao điều này quan trọng

Hiểu access control là quan trọng vì nó **quản lý những gì người dùng có thể làm và là then chốt đối với bảo mật** — broken access control là lỗ hổng #1 của OWASP — nên đó là kiến thức bảo mật có giá trị, then chốt thực tế.

Access control xác định những gì người dùng đã xác thực được phép làm, và làm đúng nó là thiết yếu.

Hiểu các **mô hình** — **RBAC** (gán người dùng vào các role có permissions — dễ quản lý và phổ biến), **ABAC** (quyết định dựa trên thuộc tính cho kiểm soát linh hoạt, chi tiết), và ACLs (danh sách permission theo từng tài nguyên) — cung cấp các khuôn khổ để cấu trúc quyền hạn, với RBAC là phổ biến nhất cần hiểu.

Hiểu **nguyên tắc least privilege** — cấp quyền truy cập **tối thiểu cần thiết**, vốn **giới hạn bán kính thiệt hại nếu một tài khoản hoặc thành phần bị xâm phạm** — là một nguyên tắc bảo mật nền tảng áp dụng rộng rãi (người dùng, services, tài khoản database, API keys), và là một trong những khái niệm bảo mật quan trọng nhất.

Quan trọng là, hiểu cách **triển khai access control an toàn** giải quyết lỗ hổng #1: **thực thi authorization trên server cho mọi hành động được bảo vệ** (không bao giờ tin client hoặc dựa vào UI bị ẩn — một sai lầm phổ biến), **kiểm tra authorization cho tài nguyên cụ thể** (ngăn IDOR, nơi người dùng truy cập dữ liệu của người khác bằng cách đổi một ID — một lỗ hổng broken-access-control thường gặp), **từ chối mặc định**, xác minh trên mỗi request, và **test access control** (một lỗ hổng phổ biến, vì các kiểm tra authorization thiếu dễ bị bỏ qua).

Vì access control quản lý những gì người dùng có thể làm và broken access control là lỗ hổng hàng đầu (phổ biến và nghiêm trọng), và vì hiểu các mô hình (RBAC), nguyên tắc least-privilege, và triển khai an toàn (thực thi phía server, kiểm tra theo tài nguyên cụ thể, từ chối mặc định) là then chốt cho bảo mật, nên hiểu access control là kiến thức bảo mật có giá trị, then chốt thực tế — giải quyết rủi ro bảo mật #1, cơ bản đối với việc kiểm soát những gì người dùng có thể làm, và thiết yếu để tránh các lỗ hổng broken-access-control (như IDOR và các kiểm tra authorization thiếu) vốn nằm trong số những lỗ hổng phổ biến và nghiêm trọng nhất.