+994512060920
Müasir rəqəmsal dünyada hər gün dəfələrlə istifadə etdiyimiz, lakin çox vaxt fərqinə varmadığımız iki proses mövcuddur: sistemə giriş etmək və həmin sistemdəki məlumatlardan istifadə etmək. Kibertəhlükəsizlik sahəsində bu proseslər Authentication (Autentifikasiya) və Authorization (Avtorizasiya) adlanır. Çox vaxt bu terminlər səhvən bir-birini əvəz edən sözlər kimi işlədilsə də, əslində onlar tamamilə fərqli funksiyaları yerinə yetirir və təhlükəsizlik arxitekturasının (Security Architecture) ayrı-ayrı sütunlarını təşkil edirlər.
Bu məqalədə biz sadəcə terminlərin izahını verməyəcəyik, həm də onların iş prinsiplərini, AuthN və AuthZ arasındakı incə fərqləri, müasir tətbiqlərdə istifadə olunan protokolları (OAuth, JWT) və biznesiniz üçün hansı təhlükəsizlik modelinin daha uyğun olduğunu ən xırda detallarına qədər araşdıracağıq.
Authentication (Autentifikasiya) – "Sən Kimsən?"
Authentication (qısaca AuthN), hər hansı bir sistemə daxil olmaq istəyən istifadəçinin, cihazın və ya prosesin kimliyini təsdiqləmə prosesidir. Bu, təhlükəsizlik yoxlamasının ilk mərhələsidir. Təsəvvür edin ki, hava limanındasınız; pasport nəzarəti sizin kim olduğunuzu yoxlayır. Əgər sənədiniz saxtadırsa və ya sizə aid deyilsə, hava limanına daxil ola bilməzsiniz. Bu, klassik autentifikasiyadır.
Autentifikasiya Faktorları (Sübut Növləri)
Müasir sistemlər istifadəçinin kimliyini təsdiqləmək üçün üç əsas faktordan birini və ya bir neçəsini istifadə edir:
- Bilik Faktoru (Knowledge Factor - "Nəyi bilirsən?"): Bu, ən ənənəvi üsuldur. Buraya parollar, PİN kodlar və gizli sualların cavabları daxildir. Lakin təkbaşına istifadə edildikdə ən zəif halqadır.
- Sahiblik Faktoru (Possession Factor - "Səndə nə var?"): Fiziki və ya rəqəmsal bir əşyaya sahib olmağınız. Məsələn: smartfona gələn SMS kodu, Google Authenticator tətbiqi, elektron imza tokeni (Asan İmza) və ya bank kartı.
- Bioloji Faktor (Inherence Factor - "Sən kimsən?"): Sizin fiziki xüsusiyyətləriniz. Barmaq izi skaneri, FaceID (üz tanıma), səs tanıma və ya retina skanı. Bu metod istifadəçi təcrübəsini (UX) yaxşılaşdırır və təhlükəsizliyi artırır.
MFA (Multi-Factor Authentication) Niyə Vacibdir?
Tək bir faktor (məsələn, sadəcə parol) asanlıqla sındırıla bilər. Buna görə də, müasir kibertəhlükəsizlik standartları ən azı iki faktorun birləşməsini tələb edir. Bu, hesabların oğurlanma riskini 99.9%-ə qədər azaldır.
Authorization (Avtorizasiya) – "Nəyə İcazən Var?"
İstifadəçi sistemə uğurla daxil olduqdan (Authentication) sonra ikinci mərhələ başlayır: Authorization (qısaca AuthZ). Bu proses, təsdiqlənmiş istifadəçinin sistem daxilində hansı resurslara çıxış əldə edə biləcəyini, hansı faylları oxuya, dəyişdirə və ya silə biləcəyini müəyyən edir.
Hava limanı analogiyasına qayıtsaq: Pasport nəzarətindən keçdiniz (Authentication), lakin bu o demək deyil ki, siz istənilən təyyarəyə minə bilərsiniz. Sizin biletiniz (Authorization) yalnız konkret bir reysə və konkret bir oturacağa (məsələn, Biznes və ya Ekonom klass) icazə verir. Siz pilot kabinəsinə girə bilməzsiniz, çünki buna icazəniz (authorization) yoxdur.
İcazə İdarəetmə Modelləri
Böyük sistemlərdə icazələri tək-tək idarə etmək qeyri-mümkündür. Buna görə də xüsusi strategiyalar tətbiq olunur:
- RBAC (Role-Based Access Control): Ən geniş yayılmış modeldir. İcazələr istifadəçiyə deyil, onun "Roluna" verilir. Məsələn, "Mühasib" roluna maliyyə sənədlərini görmək icazəsi verilir. Əhməd mühasibdirsə, ona avtomatik bu icazələr şamil olunur.
- ABAC (Attribute-Based Access Control): Daha dinamik və mürəkkəb modeldir. İcazələr atributlara görə verilir (Məsələn: "İstifadəçi saat 09:00-18:00 aralığında və yalnız ofis IP-sindən daxil olarsa faylı aça bilər").
- Ən Az Səlahiyyət Prinsipi (Principle of Least Privilege): Təhlükəsizliyin qızıl qaydasıdır. İstifadəçiyə yalnız işini görməsi üçün lazım olan minimum icazələr verilməlidir. Bu, daxili təhdidləri və haker hücumlarının zərərini minimuma endirir.
Hissə 3: Kritik Fərqlərin Müqayisəli Təhlili
| Xüsusiyyət | Authentication (AuthN) | Authorization (AuthZ) |
|---|---|---|
| Əsas Sual | Sən kimsən? (Kimliyin təsdiqi) | Sənin nəyə icazən var? (Giriş hüququ) |
| Zamanlama | Həmişə birinci addımdır. | Autentifikasiyadan sonra baş verir. |
| Görünürlük | İstifadəçi tərəfindən görünür (Login ekranı, Parol daxil etmə). | Arxa planda işləyir (Server tərəfində yoxlanılır). |
| Məlumat Növü | Parollar, Biometrika, OTP kodlar. | Tokenlər (JWT), İcazə siyahıları (ACL), Rollar. |
| Uğursuzluq Halı | "401 Unauthorized" (Sistəmə giriş qadağandır). | "403 Forbidden" (Girişiniz var, amma bu səhifəyə icazəniz yoxdur). |
Hissə 4: Texniki İmplementasiya və Protokollar
Veb inkişafçıları və sistem administratorları üçün bu iki prosesin texniki tərəfini anlamaq həyati əhəmiyyət daşıyır. Müasir veb tətbiqləri (Web Apps) və API-lar aşağıdakı standartlardan istifadə edir:
OAuth 2.0 və OpenID Connect (OIDC)
Bir çox istifadəçi "Google ilə daxil ol" düyməsini görür. Burada iki protokol işləyir:
- OpenID Connect: Sizin kim olduğunuzu Google-dan öyrənir (Authentication).
- OAuth 2.0: Tətbiqə Google Drive-dakı fayllarınıza giriş icazəsi verir (Authorization). OAuth bir "açar" vermək kimidir, kimliyi yox, səlahiyyəti ötürür.
JWT (JSON Web Token)
Müasir API təhlükəsizliyi üçün sessiya (session) əvəzinə JWT istifadə olunur. Proses belə işləyir:
- İstifadəçi Login olur (AuthN).
- Server istifadəçiyə rəqəmsal imzalı bir JWT Token verir. Bu tokenin içində istifadəçinin rolu (məsələn, Admin) yazılır.
- İstifadəçi hər dəfə məlumat istədikdə bu tokeni serverə göndərir.
- Server tokeni yoxlayır və içindəki rola əsasən məlumatı verir və ya imtina edir (AuthZ).
Hissə 5: Təhlükəsizlik Riskləri və Həll Yolları
OWASP (Open Web Application Security Project) təşkilatının hesabatlarına görə, "Broken Access Control" (Sınmış Giriş Nəzarəti) veb tətbiqlərdə ən ciddi 1 nömrəli təhlükəsizlik boşluğudur.
Tez-tez rast gəlinən səhvlər:
- IDOR (Insecure Direct Object References): İstifadəçinin sadəcə URL-dəki rəqəmi dəyişərək başqasının profilinə baxması (məsələn, `user/123` yerinə `user/124` yazmaq). Bu, Authorization xətasıdır.
- Zəif Parol Siyasəti: İstifadəçilərə "123456" kimi parollar qoymağa icazə vermək. Bu, Authentication xətasıdır.
Nəticə
Authentication və Authorization rəqəmsal təhlükəsizliyin ayrılmaz hissələridir. Birincisi qapını qoruyur, ikincisi isə evin içindəki nizam-intizamı təmin edir. Biznes sahibləri və tərtibatçılar üçün bu iki prosesi düzgün ayırmaq və ən son standartlara (MFA, RBAC, OAuth) uyğun qurmaq sadəcə texniki məsələ deyil, həm də müştəri etibarını qorumaq üçün strateji zərurətdir.
Tez-Tez Verilən Suallar (FAQ)
Authentication və Authorization arasındakı əsas fərq nədir?
Ən qısa cavab: Authentication sizin kim olduğunuzu (Login), Authorization isə nə edə biləcəyinizi (İcazə) müəyyən edir.
401 və 403 xətaları arasındakı fərq nədir?
401 xətası (Unauthorized) sistemin sizi tanımadığını (giriş etməmisiniz) bildirir. 403 xətası (Forbidden) isə sistemin sizi tanıdığını, lakin istədiyiniz səhifəyə giriş icazənizin olmadığını bildirir.
API təhlükəsizliyi üçün hansı daha vacibdir?
Hər ikisi vacibdir. API-lar əvvəlcə istifadəçini doğrulamalı (AuthN - adətən API Key və ya Token ilə), daha sonra isə hər bir sorğunun icazəsini (AuthZ) yoxlamalıdır.
