Jak zabránit chybějící autorizaci
Jak zajistit, že už nikdy nezapomemete na ověření autorizace nebo autentizace? Jak se dá chybějcící autorizace a autentizace zneužít? Odpovědi na tyto otázky se dozvíte v tomto článku.
V aplikaci většinou máme funkcionalitu, která hlásí stav dané aplikace a jednotlivých služeb. Může jít například o health check, ale v tomto případě jde o ping funkci.
Tato funkcionalita by měla být vhodně zabezpečena. Nejlépe formou autentizace a autorizace.
Je důležité se zamyslet nad tím, kdo by měl mít přístup k takto citlivé funkci. Každý anonym? Administrátor?
K zabezpečení můžeme použít middleware check_admin:
Tento middleware potom jednoduše připojíme k naší ping funkci, aby se při ka�ždém volání kontrolovala oprávnění.
Teď už by tato funkcionalita měla být dostupná jen pro administrátora.
Vzhledem k tomu, že většina aplikací má autorizační podmínky rozesety napříč celou aplikací, tak se stává, že vývojář zapomene danou funkcionalitu vhodně zabezpečit. Doporučuju tedy použít právě middlewary, kde je snadné ověřit, jestli má funkcionalita povolenou autentizaci nebo autorizaci.
Podívejte se na video, kde tuto funkcionalitu hackuju a rovnou v kódu opravuju:
Dej odběr a žádné další video už ti neunikne. 👇