📚 محتوى دفاعي.
مصادقة مقابل صلاحيات
- المصادقة: مَن أنت؟
- الصلاحيات (Authorization): ماذا يُسمح لك؟
كلاهما ضروري — التحقّق من الهويّة لا يكفي دون التحقّق من الصلاحية.
مبدأ أقلّ صلاحية
امنح كل مستخدم/مكوّن أقلّ وصول يحتاجه فقط — يقلّل الضرر عند الاختراق.
التحكّم القائم على الأدوار (RBAC)
اربط الصلاحيات بأدوار، والأدوار بالمستخدمين:
دور "محرّر" → إنشاء/تعديل المحتوى
دور "مشرف" → كل شيء
مستخدم → دور
function can(role, action) {
return permissions[role]?.includes(action);
}
if (!can(user.role, "delete:post")) return forbidden();
تحقّق على الخادم دائمًا
⚠️ لا تعتمد على إخفاء الأزرار في الواجهة — افحص الصلاحية على الخادم في كل طلب حسّاس.
ممارسات
- افصل الحسابات الإدارية عن العادية.
- راجع الصلاحيات دوريًّا وأزِل غير اللازم.
- سجّل العمليات الحسّاسة (audit log).
💡 معظم اختراقات البيانات تستغلّ صلاحيات زائدة — قلّلها للحدّ الأدنى.
🎯 التالي: ترويسات الأمان.