Контроль доступа: кто и к каким ресурсам и действиям имеет право после успешной аутентификации.
Граница доверия
- API Gateway — первая точка, где проверяется JWT; невалидный или отсутствующий токен — 401. Дальше запрос передаётся во внутренние сервисы с контекстом пользователя (user_id, roles в метаданных или в токене).
- Внутренние сервисы — доверяют контексту, переданному от API Gateway (внутренняя сеть); при необходимости проверяют права на конкретный ресурс (например, доступ к аккаунту или организации).
Модель прав
- Текущая база: аутентифицированный пользователь (user_id из JWT) — субъект; ресурсы — сущности платформы (аккаунт, workspace, сервис). Точная модель RBAC/ABAC определяется продуктом; в документации фиксируются принципы: минимальные привилегии, проверка на каждом чувствительном действии.
- Административные действия — отдельные роли или scope в токене; аудит в Audit logging.
Реализация
- API Gateway (Envoy) — проверка JWT, извлечение claims; при необходимости передача заголовков (X-User-Id, X-Roles) во backend.
- Backend-сервисы — проверка прав перед изменением ресурса; при отказе — 403 Forbidden. Не полагаться только на скрытие UI; API должен проверять права.
Связанные страницы
- Authentication — аутентификация до проверки прав
- Security and Compliance / Access Control — политики доступа
- API Gateway — граница и JWT
- Product / Security Requirements — продуктовые требования