Estamos utilizando el servidor Keycloak Identity, que se encargará de la autenticación y autorización de nuestro nuevo sitio web de marketing multinivel.
Se estaba desarrollando una discusión dentro de nuestro equipo para mantener los conceptos de Autorización por separado en nuestra base de datos local. Como necesitamos usar el servidor de ID solo para la autenticación, parece.
¿Cuáles son las mejores prácticas para mantener la lógica de Autorización y Autenticación por separado?
¿Necesitamos mantener la lógica de autenticación y autorización por separado?
¡Sí, sí, sí!
Estas son dos tareas diferentes. La combinación incorrecta de los dos es una de las fuentes más comunes de vulnerabilidad.
El número 2 y 4 del top 10 de OWASP este año, específicamente: enlace
La autenticación es "quién eres" y la autorización es "qué puedes hacer".
La autenticación de un usuario no lo autoriza, y ser autorizado no es garantía de autenticación.
Lea otras preguntas en las etiquetas authentication authorization permissions sso