Conceitos de Segurança: Autenticação e Autorização

Olá, pessoal! Vamos começar nossa conversa de hoje imaginando uma situação bem comum: você chega no trabalho ou na faculdade. Ao entrar no prédio, o primeiro passo é se identificar para o segurança ou usar um crachá. Esse ato de dizer "sou eu, Fulano" e provar isso é o que chamamos de Autenticação. É o processo que responde à pergunta: "Quem você é?". Em nosso mundo digital, isso acontece quando você insere seu login e senha no e-mail, usa a digital para desbloquear o celular ou mesmo quando o banco pede um código enviado por SMS. A autenticação é a primeira barreira, a porta de entrada, garantindo que você é realmente quem diz ser.

Agora, depois de autenticado e dentro do prédio, surge uma nova questão. Mesmo estando identificado, você tem permissão para entrar em todas as salas? Pode acessar o cofre, a sala de servidores ou a diretoria? Provavelmente não. O seu crachá ou o seu perfil de usuário define quais portas você pode abrir e quais ações pode realizar. Esse é exatamente o conceito de Autorização. Ela responde à pergunta: "O que você tem permissão para fazer?". Na prática, mesmo depois de logado no sistema da empresa, um estagiário pode ter autorização apenas para visualizar relatórios, enquanto um gerente tem a autorização adicional de aprová-los e modificá-los.

Vamos a um exemplo prático dentro de uma aplicação que vocês podem criar, como um sistema de vendas online. Quando você faz login (autenticação), o sistema sabe que você é "João". Mas o que o João pode fazer? Se ele for um cliente comum, sua autorização permite que ele veja produtos, adicione itens ao carrinho e compre (CRUD básico em seu próprio carrinho). Agora, se o usuário for um administrador do sistema, após a mesma autenticação, ele terá autorização para fazer muito mais: cadastrar novos produtos (CREATE), alterar preços (UPDATE) ou até excluir itens do catálogo (DELETE). Percebam como são dois momentos distintos e complementares: primeiro eu sei quem é (autenticação), depois eu defino o que essa pessoa pode acessar (autorização).

Dominar essa diferença é um dos pilares para construir aplicações em LPOO (Linguagem de Programação Orientada a Objetos) que são não apenas funcionais, mas também seguras. Podemos modelar classes como Usuario (com atributos de login e senha para a autenticação) e Perfil ou Papel (com permissões específicas que determinam a autorização). Proteger nossa aplicação é crucial, e entender esses dois conceitos é o primeiro e mais importante passo.

Conteúdo baseado nos conceitos fundamentais de segurança da informação, amplamente difundidos em padrões como OWASP (Open Web Application Security Project) e em literature clássica de desenvolvimento de software, como os livros "Clean Code" de Robert C. Martin e "Segurança em Aplicações Web" de Rafael F. Almeida.

ATIVIDADE DE FIXAÇÃO


Comentários

Postar um comentário

Postagens mais visitadas deste blog

Comparação entre programação estruturada e a POO

Imagem
Neste tópico, iremos promover uma comparação entre a programação estrutura e a programação orientada a objetos, com o intuito de não só reforçar as características singulares de cada uma, mas também consolidar o que você já sabe em relação à elas. A primeira coisa que precisamos ter em mente é que os dois tipos de programação possuem suas vantagens e desvantagens de uso pelos desenvolvedores. Além disso, determinar qual a melhor programação a ser utilizada pode depender do tipo de programa que será desenvolvido. Então, preparado para aprender as diferenças entre elas? Observe a imagem a seguir! Perceba que na programação estruturada as funções são utilizadas globalmente na aplicação, já na orientada a objetos, essas funções são aplicadas aos dados de cada objeto. Agora, conhecendo os dois tipos de programação, observe que a programação estruturada, quando realizada corretamente, tem a probabilidade de ter o desempenho superior ao da orientada a objeto. Isso ocorre, pois ela é procedura...
Saiba mais »

Encapsulamento na Linguagem POO

Imagem
Agora que já entendemos o que é abstração, vamos aprender sobre o encapsulamento. Ao encapsular algo, você está colocando um objeto dentro de um recipiente, igual a um remédio de cápsula. Mas, afinal, qual é o propósito? O encapsulamento é uma das principais técnicas da programação orientada a objetos. Quando você encapsula um objeto, você está criando uma proteção e um padrão. Com isso, o propósito é de proteger o desenvolvedor do código e o código do desenvolvedor. Assim, quando você encapsula um objeto na POO, você está criando moldes padrão que fazem com que o conteúdo do objeto não importe. Você está determinando que o resultado será sempre o mesmo. Observe abaixo a definição dos conceitos: Conceito de encapsulamento É a ação de ocultar partes independentes da implementação, permitindo construir partes invisíveis ao mundo exterior. Ok, mas se no fim eu estou ocultando detalhes do código, como que ele vai funcionar? A POO permite que você converse com esta cápsula, trocando informa...
Saiba mais »

Estratégia de POO para software usando objetos

Imagine que você tivesse de desenvolver um programa OO para implementar um carrinho de compras on-line ou um terminal de ponto de vendas. Um programa OO conterá os objetos item, carrinho de compras, cupom e caixa. Cada um desses objetos vai interagir uns com os outros para orientar o programa. Por exemplo, quando o caixa totalizar um pedido, ele verificará o preço de cada item. Definir um programa em termos de objetos é uma maneira profunda de ver o software. Os objetos o obrigam a ver tudo, em nível conceituai, do que um objeto faz: seus comportamentos. Ver um objeto a partir do nível conceituai é um desvio da observação de como algo é feito: a implementação. Essa mentalidade o obriga a pensar em seus programas em termos naturais e reais. Em vez de modelar seu programa como um conjunto de procedimentos e dados separados (termos do mundo do computador), você modela seu programa em objetos. Os objetos permitem que você modele seus programas nos substantivos, verbos e adjetivos do do...
Saiba mais »