Авторизация

Авторизация (от англ. authorization — разрешение, уполномочивание) — процесс предоставления пользователю или приложению определённых прав доступа к ресурсу или функциональности после успешной идентификации и аутентификации.

Что такое авторизация в информационных системах — это «третий этап» цепочки контроля доступа: сначала система определяет, кто именно обращается (идентификация — ввод логина), затем проверяет, действительно ли это тот человек, за кого он себя выдаёт (аутентификация — пароль или биометрия), и наконец решает, что этому конкретному человеку можно делать в системе (авторизация — права на чтение, редактирование, удаление, администрирование).

В русскоязычной IT-практике термин «авторизация» часто используется неточно — как синоним всему процессу входа в систему, включая аутентификацию. Это бытовое использование, не соответствующее точным определениям из стандартов безопасности. В технической документации, в спецификациях OAuth, в RFC всегда разделяют три этапа: identification, authentication, authorization.

Для веб-разработки и SEO авторизация важна как часть архитектуры сайтов и сервисов: системы личных кабинетов, корзин, платных подписок, административных панелей CMS — всё это построено на правах доступа. Корректная настройка авторизации влияет на безопасность сайта, защиту от взломов и утечек данных, репутацию бренда в поисковых системах.

Что такое авторизация

Авторизация — процесс предоставления конкретных прав на конкретные действия с конкретными ресурсами. Что такое авторизация технически — это обращение к системе контроля доступа с вопросом «может ли этот пользователь сделать это действие с этим объектом?» и получение ответа «да» или «нет» (иногда «частично — только некоторые операции»).

Простой пример: пользователь зашёл в личный кабинет своего интернет-банка (это уже завершённая идентификация и аутентификация — банк знает, кто он, и убедился в этом). Дальше пользователь нажимает «перевести 1000 BYN». Система проверяет: есть ли у этого пользователя право на переводы (авторизация), достаточно ли средств на счёте, не превышен ли дневной лимит. Только при положительных ответах на все эти вопросы операция выполняется.

Базовые принципы авторизации в современной IT-индустрии:

• Принцип минимальных привилегий (least privilege). Пользователь получает только те права, которые реально нужны для выполнения его задач. Не больше.
• Разделение обязанностей. Для критических операций требуется участие нескольких лиц с разными ролями (например, для выпуска платежа нужно подтверждение и от бухгалтера, и от руководителя).
• Регулярный аудит прав. Периодическая проверка, кто и какие права имеет, не накопились ли «забытые» доступы у уволившихся сотрудников или у бывших ролей.
• Контекстная авторизация. Права могут зависеть не только от пользователя, но и от контекста: времени, IP-адреса, устройства, рабочего времени.

Идентификация, аутентификация и авторизация

Эти три понятия часто путают. В точной IT-терминологии они означают разное:

Аналогия с физическим миром. Идентификация — это сказать охраннику на входе в офис «я Иван Петров». Аутентификация — предъявить паспорт с фотографией, которое подтверждает, что это действительно Иван Петров. Авторизация — охранник проверяет, что Иван Петров есть в списке сотрудников, имеет действующий пропуск, и решает, в какие помещения его можно пустить (общий офис — да, серверная — нет).

В быту все три этапа в русском языке часто называют «авторизацией» или «входом». В технической документации — особенно при обсуждении OAuth, JWT, RBAC, API безопасности — разделение строгое и обязательное. SEO-специалисту полезно понимать различие, чтобы корректно работать с техническим заданием на сайт и понимать архитектуру.

Способы авторизации

В современных информационных системах используется несколько моделей авторизации:

RBAC (Role-Based Access Control) — ролевая модель. Пользователю присваивается одна или несколько ролей (Администратор, Редактор, Автор, Подписчик), каждая роль имеет фиксированный набор разрешений. Самая распространённая модель в CMS и корпоративных системах. WordPress использует именно RBAC: роли «Администратор», «Редактор», «Автор», «Подписчик» имеют разные права.

ABAC (Attribute-Based Access Control) — атрибутная модель. Решение об авторизации принимается на основе атрибутов: пользователя (отдел, должность, регион), объекта (тип документа, конфиденциальность), действия, контекста (время, IP). Гибче RBAC, но сложнее в настройке. Используется в крупных корпорациях с тонкой иерархией доступа.

ACL (Access Control List) — список доступа. Каждый ресурс имеет явный список пользователей с конкретными правами. Простая модель для систем с небольшим количеством пользователей и ресурсов. Используется в файловых системах Unix и Windows.

OAuth-авторизация. Стандартизованный протокол делегирования прав. Используется, когда одно приложение должно получить доступ к данным пользователя на другом сервисе без передачи пароля.

Кэпэбилити (Capability-based). Пользователь имеет «возможности» (capabilities) — токены, дающие конкретные права. При вызове операции токен предъявляется системе. Используется в современных микросервисных архитектурах.

Авторизация на основе политик (Policy-based). Доступ определяется набором декларативных правил. Системы вроде Open Policy Agent позволяют задавать сложные правила доступа на специальном языке.

OAuth и SSO

Два важнейших стандарта в современной веб-авторизации — OAuth и SSO.

OAuth (Open Authorization) — открытый стандарт делегирования авторизации. Позволяет одному сервису получить доступ к ресурсам пользователя на другом сервисе без передачи пароля. Актуальная версия — OAuth 2.0 (RFC 6749, 2012 год), новая версия OAuth 2.1 в разработке.

Базовый сценарий OAuth: пользователь хочет авторизоваться на сайте «Cropas» через свой аккаунт Google. Нажимает «Войти через Google». Сайт «Cropas» перенаправляет пользователя на страницу Google с подтверждением — «Сайт Cropas просит разрешения на доступ к профилю пользователя». Пользователь подтверждает. Google возвращает сайту «Cropas» специальный токен (access token), с которым тот может обращаться к Google API для получения профиля. Пароль Google никогда не передаётся сайту «Cropas».

Сегодня OAuth — стандарт «социального входа» в большинстве сервисов: вход через Google, Facebook, Apple ID, Microsoft, ВКонтакте, Telegram, Яндекс. Также OAuth используется при интеграции между сервисами (например, когда автоматический сервис планирования постов получает доступ к Instagram-аккаунту бизнеса).

SSO (Single Sign-On) — единый вход. Пользователь авторизуется один раз и получает доступ ко множеству связанных систем без повторного ввода пароля. Используется в корпоративных средах (один логин для почты, корпоративных приложений, CRM, BI-инструментов) и в экосистемах сервисов.

Главные протоколы SSO: SAML (Security Assertion Markup Language) — корпоративный стандарт для интеграции с Active Directory и облачными сервисами; OpenID Connect — современная альтернатива на базе OAuth 2.0; Kerberos — старый протокол для корпоративных сетей, используется в Microsoft Active Directory.

Пример корпоративного SSO: сотрудник входит в Microsoft 365, после чего автоматически получает доступ к Outlook, Teams, SharePoint, OneDrive без отдельных вводов пароля. Аналогично работает Google Workspace для всех сервисов Google. Для конечного пользователя SSO — это удобство, для безопасности — централизованный контроль над всеми входами.

Авторизация на сайтах

В контексте веб-разработки авторизация реализуется через сессии и токены.

Сессионная авторизация (классическая). При входе пользователя сервер создаёт сессию — запись в базе данных или в памяти с уникальным идентификатором. Этот идентификатор сохраняется в браузере пользователя как cookie. При каждом запросе браузер отправляет cookie, сервер находит сессию и понимает, кто это и какие у него права. Срок жизни сессии — обычно от нескольких часов до нескольких недель.

Токенная авторизация (современная). Вместо сессии на сервере используется JWT (JSON Web Token) — самодостаточный токен, который содержит всю нужную информацию о пользователе в зашифрованном виде. Сервер проверяет подпись токена, извлекает данные, принимает решение. JWT удобен для микросервисных архитектур и мобильных приложений.

Двухфакторная авторизация (2FA). Дополнительный шаг проверки при входе: после пароля система просит SMS-код, код из приложения-аутентификатора (Google Authenticator, Authy), отпечаток пальца или физический USB-ключ (FIDO2/WebAuthn). Резко повышает безопасность аккаунтов от взломов и фишинга.

Управление сессиями. Включает: автоматический выход после периода неактивности, принудительный выход со всех устройств при смене пароля, журнал активных сессий с возможностью отозвать каждую отдельно, ограничения по IP и геолокации.

Для коммерческих сайтов в Беларуси и СНГ типичная архитектура включает: классический логин/пароль с 2FA через SMS, дополнительные кнопки входа через Google/ВКонтакте/Telegram/Apple ID через OAuth, восстановление доступа через email, обязательное согласие на обработку персональных данных по 99-З.

Авторизация и SEO

Авторизация напрямую не является SEO-фактором, но косвенно влияет на ранжирование через несколько механизмов:

Защита от взлома и спама. Чётко настроенная авторизация и тонкие права доступа защищают CMS от взлома и спам-инъекций. Взломанный сайт получает санкции от Google (Safe Browsing предупреждения) и Яндекса (фильтры). Двухфакторная авторизация для администраторов CMS — обязательная мера безопасности для коммерческих сайтов.

Личный кабинет и конверсия. Удобная авторизация (включая социальные кнопки через OAuth) увеличивает конверсию интернет-магазинов и сервисов. Высокая конверсия — это хорошие поведенческие сигналы, которые косвенно влияют на ранжирование. Лучший пользовательский опыт = больше повторных визитов = выше доверие Google.

Контент за авторизацией. Страницы, доступные только зарегистрированным пользователям, обычно не индексируются поисковиками. Это нормально, если это закрытый контент личного кабинета. Если же ценный контент (статьи, обзоры) закрыт авторизацией без публичной части — поисковики его не видят, и SEO-трафик не идёт. Решение — публичная превью-версия с предложением зарегистрироваться для полного просмотра.

Google Search Console и Яндекс.Вебмастер. Сами эти инструменты для SEO требуют авторизации владельца сайта (через DNS-записи, файл подтверждения, мета-тег). Без подтверждения владения через авторизацию использование Search Console и Вебмастера невозможно.

Аутентификация в Google Business Profile. Для локального SEO в Google Maps требуется верификация бизнеса через звонок, открытку, email — это форма авторизации владельца. Без подтверждения карточка работает в ограниченном режиме.

Защита от ботов и спам-комментариев. Авторизация для оставления комментариев (через OAuth или регистрацию) защищает блог от спам-ссылок, которые могут навредить SEO. Альтернатива — система модерации, но она требует постоянной ручной работы.

Часто задаваемые вопросы

В чём разница между авторизацией и аутентификацией?

Аутентификация — это проверка подлинности пользователя (действительно ли пользователь тот, за кого себя выдаёт). Делается через ввод пароля, биометрию, SMS-код. Авторизация — это назначение прав на действия после успешной аутентификации (какие действия разрешены пользователю в системе). На практике сначала аутентификация (логин + пароль), потом авторизация (определение роли и прав).

Что такое OAuth?

OAuth — открытый стандарт авторизации, позволяющий одному сервису получить доступ к данным пользователя на другом сервисе без передачи пароля. Это основа всех современных кнопок «Войти через Google», «Войти через Facebook» и т. п. Актуальная версия OAuth 2.0 описана в RFC 6749 (2012 год), готовится OAuth 2.1 с улучшениями безопасности.

Безопасно ли использовать «Войти через Google» на сайте?

В целом — безопасно. Пароль Google никогда не передаётся стороннему сайту, передаётся только токен с разрешениями, которые пользователь явно подтвердил. Главные риски: если аккаунт Google взломан — атакующий получает доступ ко всем сервисам, где использован социальный вход. Поэтому для критических сервисов (банк, госуслуги) лучше использовать отдельный надёжный пароль и двухфакторную авторизацию.

Что такое SSO?

SSO (Single Sign-On) — единый вход в несколько связанных систем после одной авторизации. Сотрудник компании входит в корпоративную почту и автоматически получает доступ к CRM, проектному инструменту, BI-аналитике без повторного ввода пароля. Главные протоколы SSO: SAML, OpenID Connect, Kerberos. Активно используется в корпоративных и образовательных средах.

Что такое RBAC?

RBAC (Role-Based Access Control) — модель управления доступом на основе ролей. Каждому пользователю назначаются роли (Администратор, Редактор, Автор), каждая роль имеет фиксированный набор разрешений. Самая распространённая модель в современных IT-системах. WordPress, GitLab, Jira, Microsoft 365 — все используют RBAC.

Влияет ли авторизация на SEO?

Напрямую — нет. Косвенное влияние существенно: чёткая авторизация и хорошо разграниченные права доступа защищают сайт от взлома (взломанный сайт получает санкции от поисковиков), удобный вход повышает конверсию и поведенческие сигналы, защита комментариев от спама улучшает качество страниц. Контент, закрытый авторизацией без публичной части, не индексируется — это нужно учитывать при планировании структуры сайта.

Что такое JWT?

JWT (JSON Web Token) — формат самодостаточного токена для авторизации в современных веб-приложениях. Токен содержит данные пользователя в JSON, закодированные в Base64 и подписанные криптографически. Сервер проверяет подпись и доверяет содержимому без обращения к базе данных. Используется в большинстве современных API, в мобильных приложениях, в микросервисных архитектурах.

Нужна ли двухфакторная авторизация на коммерческом сайте?

Для административных учётных записей CMS — обязательна. Это базовая мера защиты от взлома сайта. Для обычных пользователей (покупателей, читателей блога) — желательно, но не критично. Для аккаунтов с финансовыми операциями (банк-клиенты, платёжные сервисы) — обязательно по требованиям законодательства. В Беларуси Национальный банк требует 2FA для всех интернет-банковских клиентов.