¿Debemos mantener la Lógica de autenticación y autorización por separado? [cerrado]

2

Estamos utilizando el servidor Keycloak Identity, que se encargará de la autenticación y autorización de nuestro nuevo sitio web de marketing multinivel.

Se estaba desarrollando una discusión dentro de nuestro equipo para mantener los conceptos de Autorización por separado en nuestra base de datos local. Como necesitamos usar el servidor de ID solo para la autenticación, parece.

¿Cuáles son las mejores prácticas para mantener la lógica de Autorización y Autenticación por separado?

    
pregunta Nick 22.06.2017 - 18:18
fuente

1 respuesta

1
  

¿Necesitamos mantener la lógica de autenticación y autorización por separado?

¡Sí, sí, sí!

Estas son dos tareas diferentes. La combinación incorrecta de los dos es una de las fuentes más comunes de vulnerabilidad.

El número 2 y 4 del top 10 de OWASP este año, específicamente: enlace

La autenticación es "quién eres" y la autorización es "qué puedes hacer".

La autenticación de un usuario no lo autoriza, y ser autorizado no es garantía de autenticación.

    
respondido por el JesseM 22.06.2017 - 23:22
fuente

Lea otras preguntas en las etiquetas