Аутентифікація та авторизація: OAuth, JWT, сесії, RBAC, 2FA
На одному проекті токен JWT з роллю admin: false міг бути змінений клієнтом на admin: true — сервер приймав його без верифікації підпису. Це не гіпотетична атака: кілька файлів в npm-екосистемі мали уразливість jwt бібліотеки, яка ігнорувала алгоритм none. Наслідки — повний доступ до адміністративних функцій для будь-якого зареєстрованого користувача.
JWT: що реально потрібно знати
JWT складається з трьох частин: header (алгоритм), payload (дані), signature (підпис). Підпис верифікує, що payload не змінений. Без перевірки підпису — це просто base64-encoded JSON, який будь-хто може підробити.
Помилки, які бачимо у коді регулярно:
Зберігання у localStorage. localStorage доступна будь-якому JS на сторінці — XSS атака читає токен та відправляє на сервер зловмисника. Access token у пам'яті (змінна модуля), refresh token у httpOnly cookie — правильна схема.
Довгоживучі access-токени. Access token на 7 днів без можливості відзиву. Втік — 7 днів доступу. Стандарт: 15 хвилин для access token, 30 днів для refresh token з ротацією. При кожному використанні refresh token видається новий, старий інвалідується — якщо старий хтось використає повторно, це детектується як Token Reuse Attack, вся сім'я токенів відзивається.
Зберігання секретних даних у payload. JWT payload не зашифрований, тільки підписаний — його видно в base64. Паролі, платіжні дані, особиста інформація — не в JWT.
Алгоритм RS256 (асиметричний) надійніший HS256 (симетричний) у мікросервісній архітектурі: сервіси можуть верифікувати токен публічним ключем, не маючи доступу до секрету для його створення.
OAuth 2.0 та OpenID Connect
OAuth 2.0 — протокол делегованої авторизації, не аутентифікації. «Увійти через Google» — це OpenID Connect поверх OAuth 2.0, який додає id_token з даними користувача.
Authorization Code Flow з PKCE — єдиний правильний flow для браузерних SPA та мобільних застосунків. Implicit Flow застарів та небезпечний. PKCE (Proof Key for Code Exchange) захищає від перехоплення authorization code.
Реалізація OAuth сервера: не пишемо з нуля. Keycloak (open source, self-hosted), Auth0, Okta — готові рішення. Laravel Passport або Laravel Sanctum для серверних застосунків. NextAuth.js для Next.js — підтримує 50+ провайдерів з коробки.
Для B2B продуктів з корпоративними клієнтами — SAML 2.0 SSO. Корпоративні IT-відділи часто вимагають його замість OAuth. @boxyhq/saml-jackson — node.js бібліотека для SAML → OAuth2 адаптера.
Сесії vs токени
Сесії зберігають стан на сервері (Redis, база даних) — сервер може негайно відозвати сесію. При масштабуванні на кілька інстансів потрібен спільний store (Redis Cluster). Cookie з session ID — httpOnly, Secure, SameSite=Strict.
Stateless JWT не потребують server-side storage, масштабуються горизонтально. Але відзив токена до закінчення строку — тільки через blacklist (Redis), що частково убирає переваги stateless.
Для більшості веб-застосунків сесії простіші та безпечніші. JWT має сенс для API, спожитих мобільним застосунком, та мікросервісної архітектури.
RBAC та політики доступу
Role-Based Access Control — користувач має ролі, у ролей — права. Проста реалізація: user → roles → permissions. Але як тільки з'являється ресурсна авторизація («користувач може редагувати тільки свої пости»), RBAC ускладнюється.
Spatie Laravel Permission — стандарт для Laravel: поліморфні ролі та права, кешування, super-admin через gate. Інтеграція з Eloquent: $user->can('edit posts'), $user->hasRole('editor').
ABAC (Attribute-Based Access Control) — політики на основі атрибутів: користувача, ресурсу, окруження. Потрібна коли правила доступу складні: «менеджер може переглядати замовлення свого регіону, якщо замовлення створено більше 24 годин тому». Casbin — популярна cross-language бібліотека для ABAC.
ReBAC (Relationship-Based Access Control) — Google Zanzibar model. Доступ визначається графом відносин: «користувач X є учасником команди Y, яка має доступ до проекту Z». OpenFGA — open source реалізація від Okta.
Двохфакторна аутентифікація
TOTP (Time-based One-Time Password, Google Authenticator, Authy) — стандарт. Бібліотеки: otplib (Node.js), pragmarx/google2fa (Laravel). QR-код при підключенні — base32-encoded secret, якого достатньо для відтворення коду при компрометації. Зберігати secret у зашифрованому вигляді.
SMS-верифікація — слабіша TOTP через SIM-swapping атаки та ненадійність доставки SMS. Але користувачі активують охочіше. Email OTP — компроміс між безпекою та UX.
WebAuthn (Passkeys) — біометрія або апаратний ключ замість пароля. Private key зберігається на пристрої, публічний — на сервері. Нема пароля — нема його витоку. iOS 16+, Android 9+, усі сучасні браузери підтримують. @simplewebauthn/server + @simplewebauthn/browser — хороша бібліотека для Node.js реалізації.
Backup-коди при підключенні 2FA: 10 одноразових кодів для відновлення доступу якщо телефон втрачений. Зберігати хешованими (bcrypt), показувати тільки один раз при генерації.
Типові уразливості
Broken Object Level Authorization (BOLA/IDOR): /api/orders/12345 повертає замовлення без перевірки, належить воно поточному користувачу. Найпоширеніша уразливість API за OWASP. Кожен запит до ресурсу — перевірка через $user->can('view', $order).
Mass Assignment: User::create($request->all()) — користувач передає is_admin: true у тілі запиту. Laravel вирішує через $fillable / $guarded, але часто забувають.
Небезпечний CORS: Access-Control-Allow-Origin: * на API з авторизацією по cookie — credentials не передаються з wildcard origin, але якщо хтось зробив Allow-Credentials: true + Allow-Origin: * — це дира.
Процес роботи
Архітектура авторизації проектується до початку розробки, не додається потім. Вибір між сесіями та JWT, структура ролей та прав, flow для OAuth-провайдерів, план для 2FA. Penetration testing обов'язковий для продуктів з фінансовими даними або персональними даними користувачів.
Строки
Базова аутентифікація (email/password + OAuth + JWT/сесії): 1–3 тижні. RBAC з детальними політиками доступу: 2–4 тижні. 2FA (TOTP + SMS): 1–2 тижні. WebAuthn/Passkeys: 2–3 тижні. Повна система аутентифікації для SaaS з multi-tenancy: 4–8 тижнів.