18.1. Аутентификация и авторизация

Зачастую доступ к ресурсам веб-приложения предполагает регистрацию, а затем процедуру «входа» в систему, т. е. идентификацию пользователя, подтверждение его подлинности или, используя общепринятый термин, аутентификацию. Одна из самых распространенных процедур аутентификации основана на использовании имени пользователя и пароля.

Внутри приложения доступ к различным ресурсам может быть разграничен в зависимости от прав, которыми наделен пользователь. Процесс регулирования доступа к тем или иным ресурсам системы называется авторизацией. Например, после успешного входа, пользователь может получить права использовать всю функциональность веб-приложения, кроме подсистемы администрирования, доступной только пользователям с соответствующими правами.

Классическим механизмом организации работы в системе с клиент-серверной архитектурой является механизм сессий. Сессией называется временной интервал работы с системой после прохождения процедуры аутентификации до «выхода» из системы или достижения таймаута сессии. Технологически, сессия обозначается идентификатором, который постоянно пересылается от клиента серверу и обратно для определения текущей сессии, для чего обычно используется механизм cookies. Пользователь, прошедший процедуру аутентификации и получивший доступ к веб-приложению, остается авторизованным на протяжении всей сессии.