JWT авторизация в FastAPI: от теории до работающего кода
При разработке современных веб-приложений и API вопрос безопасности и аутентификации пользователей встаёт одним из первых. Как сделать так, чтобы пользователь мог войти один раз и получать доступ к защищённым ресурсам без постоянного ввода пароля? Как организовать систему, которая легко...
Как я писал сервис авторизации на Rust…
Работая над одним своим проектом я задумался о необходимости авторизации для его публичного запуска. В самом проекте я всем этим заниматься не стал, а решил разработать отдельный сервис авторизации на Rust, который в дальнейшем можно будет «прикручивать» к разным проектам с небольшими доработками....
Авторизация — это про «изобретать велосипед», возиться с OpenSource, или о чем? Авториза — как сервис-альтернатива
Пишу эту статью как основатель стартапа Авториза. И она не для того, чтобы донести какие-то особо ценные знания, а скорее, чтобы пригласить вас к диалогу. Я хочу понять - стоит ли этим вообще заниматься, нужно ли это людям, или это лишь мои фантазии - когнитивное искажение основателя. В самой...
Авторизация 2026: Почему вам больше не нужна форма регистрации (и как внедрить Яндекс ID, VK и Google)
На дворе 2026 год. Нейросети пишут за нас тесты, холодильники сами заказывают продукты, а пользователи... пользователи всё так же ненавидят придумывать пароли. Давайте честно: если ваш пет-проект или стартап сегодня встречает юзера формой Email + Пароль + Повторите пароль, вы теряете конверсию....
Релиз за две минуты и краш-тест процессов: как мы разработали Мультидоступ в личном кабинете доменного регистратора
Привет, Хабр! На связи команда архитекторов, разработчиков и тестировщиков Рунити, которые внедряли функцию «Мультидоступ» в личный кабинет Руцентра. В этой статье рассказываем, как добавляли ролевые проверки, перестраивали контур авторизации и дорабатывали существующую инфраструктуру личного...
Безопасный доступ к внутренним сервисам: Keycloak, OAuth2 и немного Nginx‑магии
Рядовые инфраструктурные задачи иногда преподносят неожиданные сложности. Нашей целью была организация защищённого доступа к внутренним сервисам через единую точку входа с авторизацией в Keycloak, чтобы приложения получали проверенные пользовательские данные без необходимости реализации собственной...
Единая авторизация ИИ-ассистентов: будущее авторизации ИИ в интернете
В ближайшем будущем мы станем свидетелями того, как агенты — автономные программы на базе ИИ — перестанут сидеть в дата-центрах и обретут свободу перемещения по интернету. Они будут заходить в почтовые ящики, обновлять CRM-системы и обрабатывать данные на веб-панелях без какого-либо вмешательства...
Что делать с раскрытыми паролями
Согласно исследованиям, около 41% авторизаций в интернете производятся с использованием скомпрометированных паролей. Повторное использование паролей — одна из главных проблем в информационной безопасности. Пользователи используют одинаковые пароли в среднем для четырёх учётных записей на разных...
Intent, WebView и биометрия: как безобидные функции становятся инструментами хакеров
Из-за санкций и удаления приложений из App Store и Google Play российские организации были вынуждены отойти от привычных всем репозиториев, предоставив злоумышленникам больше возможностей для обмана пользователей: загрузка и обновление приложений по внешним ссылкам даже для банковских клиентов...
Введение в OAuth и OpenID Connect
Идентификация — это заявление о том, кем вы являетесь. В зависимости от ситуации, это может быть имя, адрес электронной почты, номер учетной записи, и так далее. Аутентификация — предоставление доказательств, что вы на самом деле есть тот, кем идентифицировались (от слова “authentic” - истинный,...
Использование больших языковых моделей (LLM) в Access Management
Может ли искусственный интеллект революционизировать управление доступом? Есть ли подводные камни? Высокие затраты, риск «галлюцинаций», производительность в реальном времени, эффективность - что перевешивает? В данной статье мы разберемся, как можно применить LLM к управлению доступом для...
История одного SSO: как мы подружили два независимых каталога пользователей через Keycloak
Привет, Хабр! Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений в К2 Кибербезопасность. При внедрении Single Sign-On, на первый взгляд, все должно идти по накатанной схеме: настраиваем федерацию со службой каталогов, связываем identity provider с service provider,...
Keycloak: как упростить аутентификацию и не сойти с ума?
Я Диана, системный аналитик в Clevertec и экс-преподаватель. В этой нескучной лекции расскажу: - Что такое Keycloak и для чего он нужен? - Как Keycloak помогает с межсистемной аутентификацией? - Какие плюсы и минусы у Keycloak при использовании в продакшене? - Какие альтернативы есть у Keycloak?...
[Перевод] OAuth 2.0
Вы когда‑нибудь логинились на сайте, используя аккаунт Google или Facebook? Или подключали приложение, требующее доступа к GitHub? Если да, то вы уже сталкивались с OAuth2, зная того или нет. OAuth2 — наиболее популярный и расширяемый фреймворк авторизации. Он позволяет интегрировать различные...
Я так устал вводить логин и пароль
Капчи украли у нас миллиарды часов и продолжают воровать дальше. Эту проблему надо решить, и есть технологии, которые могли бы заменить капчу, в том числе такие экзотические, как NFT с биометрией. Проверка на человечность — это пример относительно сложной в интеллектуальном плане задачи. Однако на...
Слишком уж «Быстрый вход» в приложение Т-Банк на Android
Последние несколько лет я являюсь клиентом Т-Банка (в девичестве Тинькофф Банк) и использую их Android-приложение, наверное, каждый день. В декабре я обновил его из Huawei AppGallery, и что-то изменилось в моём пользовательском опыте… Мне стало казаться, что меня стали как-то слишком редко...
Биометрические методы аутентификации: небольшое исследование
Недавно сообщество spring security закончило работу над поддержкой passkeys (ключи доступа), а конкретнее WebAuthn. Протокол WebAuthn позволяет реализовать аутентификацию с помощью биометрических данных. На данный момент поддержка passkeys местами немного сыровата, и мы активно фиксим баги и...
Декларативная платформа управления доступом: от ролей к динамическим политикам
Зачем нужна авторизация, какие проблемы она решает и в каких ситуациях будет полезна? Рассмотрим модели организации контроля доступа и способы их реализации. Привет, Хабр! Меня зовут Олег Козырев. Senior Golang инженер в BigTech-компании, ментор и блогер. Обучаю людей backend-разработке и...
Назад