Authentication

OWASP Top 10

De OWASP Top 10 is een lijst met de meest kritieke webbeveiligingsrisico's, zoals injection, broken authentication en sensitive data exposure. Het dient als referentiekader voor threat modeling, training en het opstellen van mitigaties.

A

Beveiliging

403 Forbidden

403 betekent dat de server het verzoek begrijpt maar weigert uit te voeren. De gebruiker is geauthenticeerd maar niet geautoriseerd. Opnieuw proberen helpt niet zonder aangepaste rechten. Verschil met 401: je bent wél geauthenticeerd.

A

Servers

Authorization

Autorisatie bepaalt welke acties een geauthenticeerde gebruiker mag uitvoeren en tot welke resources hij toegang heeft. Het beantwoordt de vraag: 'Wat mag je?' Implementaties zijn bijvoorbeeld role-based (RBAC), permission-based en attribute-based (ABAC) access control.

AA

Backend

401 Unauthorized

401 geeft aan dat authenticatie vereist is maar ontbreekt of is mislukt. Ondanks de naam betekent het feitelijk 'niet geauthenticeerd'. De response bevat vaak een WWW-Authenticate-header die de client vertelt welke authenticatie nodig is om toegang te krijgen. Gebruik dit voor pagina's of API-routes waarvoor je moet inloggen.

A

Servers

Backend as a Service

BaaS levert beheerde back-endvoorzieningen zoals authenticatie, databases, storage en messaging als kant-en-klare API's. BaaS versnelt de ontwikkeling doordat veel backendfunctionaliteit direct beschikbaar is, maar let op mogelijke vendor lock-in, limieten en extra kosten.

AAA

Concepten

Multi-Factor Authentication

MFA vereist twee of meer onafhankelijke verificatiefactoren, zoals wachtwoord (iets dat je weet), telefoon of hardware token (iets dat je hebt) en biometrie (iets dat je bent). Dit verkleint de kans op accountovername en versterkt de beveiliging ten opzichte van enkelvoudige of tweefactorauthenticatie.

A

Beveiliging

JSON Web Token

Een JWT is een compact, URL-veilig tokenformaat voor het veilig uitwisselen van claims. Het bestaat uit een header, payload (data) en een signature. Het is stateless, dus de server bewaart geen sessie. Gebruik het voor authenticatie en dataoverdracht, met veilige opslag (bijv. HttpOnly-cookies) en duidelijke vervaltijden.

AA

Beveiliging

Middleware

Middleware is een softwarelaag die verzoeken onderschept en verwerkt tussen client en server of eindpunt. Je gebruikt het voor zaken als authenticatie, logging, foutafhandeling, CORS, datatransformatie en rate limiting. Het is mogelijk om meerdere middleware-functies achter elkaar te koppelen.

AA

Backend

Attribute-Based Access Control

ABAC (Attribute-Based Access Control) is een autorisatiemodel waarbij toegang wordt bepaald op basis van kenmerken (attributen) van de gebruiker, de resource of de situatie. Denk aan iemands rol, afdeling of het tijdstip van inloggen. Dit is flexibeler dan RBAC, waarbij toegang alleen op rol is gebaseerd, maar ook complexer in te richten. ABAC wordt gebruikt wanneer fijnmazige toegangscontrole nodig is.

AA

Beveiliging

Endpoint

Een endpoint is een specifiek URL-adres waar een API-resource of functionaliteit beschikbaar is. Bijvoorbeeld: GET /api/users/123 haalt gebruiker 123 op. Endpoints beschrijven methode, pad, parameters, authenticatie-eisen en het responseformaat.

A

Backend

Firebase

Firebase is een app-developmentplatform met back-endservices: realtime database, Firestore, authentication, cloud Functions, hosting, storage en analytics. Je ontwikkelt snel zonder servers te beheren. Er is een gratis versie beschikbaar.

A

Providers

robots.txt

robots.txt is een tekstbestand in de root van een website dat crawlers vertelt wat ze wel of niet mogen indexeren. Het bevat regels als user-agent, disallow en allow en kan ook de sitemaplocatie aangeven. Let op: het is geen beveiliging. Voor echte bescherming gebruik je authenticatie of noindex.

A

Servers