el blog de los proyectos de Olga Berrios

Tecnología

Autorización a partir de una lista blanca

Ayer, en el curso de programación en Ruby, aprendimos algo que me pareció muy inteligente. Para empezar, necesito presentaros dos conceptos:

  • Autenticación. Se trata de las acciones que haces para comprobar que la persona que usa tu web es quien dice ser. El ejemplo más común es identificarse con nombre de usuaria y contraseña
  • Autorización. Son las acciones que haces al programar para configurar qué acciones puede o no realizar cada persona en tu sitio, es decir, qué permisos tiene. Por ejemplo: en un blog dado, unas pueden solamente leer, otras publicar comentarios, otras publicar comentarios y artículos

Ayer nos presentaron una herramienta (la gema Devise de Rails) que te facilita establecer ambos tipos de acciones. En el caso de autorización, puedes introducir un código en aquellas partes que no quieres que se muestren al público en general o a ciertos roles de usuarias. Así estableces una lista negra.

Pero lo más inteligente es realizar la autorización a partir de una lista blanca. Es decir: empezar estableciendo que exactamente todo tu sitio web estará por defecto inaccesible. Luego vas, poco a poco, indicando qué partes sí quieres mostrar.

¿Qué beneficios tiene autorizar a partir de una lista blanca?

Autorizando a partir de una lista negra, te arriesgas a que se te olviden sitios a los que no quieres permitir acceso.  Es más seguro ir descartando: comprobar y otorgar permisos poco a poco.


dominic-alves-fractal

Imagen: Dominic Alves

 

Leave a Reply