Безопасность · База
Проверить авторизацию на уровне ресурса
Гарантировать, что пользователь может работать только с разрешенными ему данными.
Быстро понять за 2 минуты
Гарантировать, что пользователь может работать только с разрешенными ему данными.
Контекст
Безопасность backend держится на корректной аутентификации, авторизации, валидации, защите секретов и безопасной обработке ошибок.
Что это дает
Authorization защищает от IDOR и утечек данных между пользователями, командами и организациями.
Как выполнить
- Проверяйте доступ не только к endpoint, но и к конкретному объекту.
- Покройте тестами чужие ID и разные роли.
- Держите правила доступа рядом с доменной логикой.
Критерии приемки
- Чужие ресурсы недоступны.
- Роли и permissions описаны.
- Есть тесты на отрицательные сценарии доступа.
Типичные ошибки
- Проверять только наличие логина.
- Доверять ID из клиента.
- Забывать authorization в background jobs.
Инструменты
Рабочий артефакт
Security checklist
Контроль безопасности backend
Сводка по auth, authorization, валидации, секретам, rate limits и обработке чувствительных данных.
- Auth checks
- Access rules
- Secrets
- Rate limits
Контроль качества
Контроль безопасности backend
Чужие ресурсы недоступны.
После изменения контрактов, релизов, инцидентов, роста нагрузки и пересмотра архитектурных решений.
Контракт, ограничения, сценарии отказа, метрики, владельца сервиса и критерии готовности.
Перед отметкой выполнено: Чужие ресурсы недоступны.
Как применять
Начинайте с границ ответственности и пользовательского сценария, который обслуживает система. Затем проверьте контракт, данные, отказоустойчивость, безопасность и наблюдаемость. Хороший backend-пункт фиксирует, что именно меняется, как это проверить и какие метрики покажут стабильность решения.
Режим обучения
Прочитайте материал, прослушайте аудио и проверьте понимание по коротким вопросам. Ответ раскрывается после попытки сформулировать его самостоятельно.