1. Введение в Auth & Security

Что такое аутентификация?

Аутентификация (Authentication) — это процесс проверки личности пользователя: “Ты тот, кем себя называешь?”

Авторизация (Authorization) — это проверка прав: “Ты можешь это делать?”

Разница важна:

Аутентификация: логин/пароль, токен, биометрия
Авторизация: роли, права, разрешения

Почему безопасность критична?

Нарушения безопасности = катастрофа:

Финансовые потери: штрафы GDPR до 4% от оборота компании
Репутационный ущерб: пользователи уходят после утечки данных
Юридическая ответственность: суды, иски, регуляторы
Технический ущерб: потеря данных, заражение систем

Статистика 2024

80% взломов связаны со слабыми или украденными паролями
Средняя стоимость утечки данных: $4.45 млн (IBM, 2023)
43% атак нацелены на малый бизнес
XSS уязвимости присутствуют в 40% веб-приложений

Основные угрозы

1. Слабые пароли

Пользователи используют “123456”, “password”, дни рождения. Решение: хэширование + требования к сложности.

2. Перехват сессий (Session Hijacking)

Злоумышленник крадёт cookie сессии и выдаёт себя за пользователя. Решение: HTTPS, HttpOnly, Secure флаги.

3. XSS (Cross-Site Scripting)

Внедрение вредоносного JavaScript на страницу сайта. Решение: экранирование, CSP.

4. CSRF (Cross-Site Request Forgery)

Принуждение браузера пользователя выполнить нежелательные действия. Решение: CSRF токены, SameSite.

5. SQL Injection

Внедрение SQL-кода через пользовательский ввод. Решение: prepared statements, ORM.

6. Man-in-the-Middle (MITM)

Перехват трафика между клиентом и сервером. Решение: HTTPS/TLS.

Стек аутентификации в 2024

Современный веб-проект использует:

Пользователь
    ↓ (HTTPS)
Frontend (Next.js/React)
    ↓ (JWT / Session cookie)
Backend API
    ↓ (Hashed password)
Database

Категория	Инструмент
Хэширование паролей	bcrypt, Argon2
Сессии	express-session, Redis
JWT	jsonwebtoken, jose
OAuth	NextAuth.js, Passport.js
2FA	speakeasy, otplib

Принципы безопасной архитектуры

Defense in Depth (Глубокая оборона)

Несколько слоёв защиты: даже если один взломан — остальные держатся.

Layer 1: HTTPS (шифрование трафика)
Layer 2: Валидация входных данных
Layer 3: Аутентификация пользователя
Layer 4: Авторизация (RBAC/ABAC)
Layer 5: Хэширование чувствительных данных
Layer 6: Мониторинг и аудит

Principle of Least Privilege

Пользователь получает минимум прав, необходимых для работы.

// Плохо: даём все права
user.role = 'admin';

// Хорошо: конкретные права
user.permissions = ['read:articles', 'write:own-articles'];

Fail Secure

При ошибке — запрещай доступ, не разрешай.

// Плохо: при ошибке пропускаем
try {
  checkAuth(token);
} catch (e) {
  // пропускаем ошибку — опасно!
  next();
}

// Хорошо: при ошибке блокируем
try {
  await checkAuth(token);
} catch (e) {
  return res.status(401).json({ error: 'Unauthorized' });
}

Что изучим в этом разделе

Хэширование паролей — bcrypt, Argon2, salt
Сессии и куки — механизм, флаги безопасности
JWT — структура, создание, верификация
JWT vs Sessions — когда что использовать
OAuth 2.0 — flows, grant types
OpenID Connect — поверх OAuth 2.0
NextAuth.js — auth для Next.js приложений
Passport.js — auth middleware для Express
RBAC — ролевой контроль доступа
ABAC — атрибутивный контроль доступа
XSS защита — атаки и противодействие
CSRF защита — атаки и противодействие
HTTPS и Security Headers — конфигурация сервера
Best Practices — финальный чеклист

Практические задания

Найди в публичном GitHub-репозитории хотя бы одну проблему безопасности (слабое хэширование, незащищённый роут)
Проверь свой сайт на https://securityheaders.com
Попробуй XSS на https://xss-game.appspot.com

Дополнительные ресурсы

OWASP Top 10 — топ уязвимостей веба
MDN Web Security
Auth0 Blog — статьи по аутентификации