Odpowiedź.

W architekturze systemów IT bezpieczeństwo realizowane jest na kilku poziomach: uwierzytelnianie, autoryzacja, szyfrowanie, audyt i monitorowanie. Należy kompleksowo wdrożyć te mechanizmy — w przeciwnym razie luka jednego ogniwa zagraża całemu systemowi.

Główne sposoby integracji:

• Używać szyfrowania (Transport Layer Security, TLS) w celu ochrony ruchu
• Zrealizować centralne uwierzytelnianie: OAuth2, OpenID Connect
• Stosować autoryzację opartą na rolach na poziomie API i mikroserwisów
• Audyt i logowanie dostępu do krytycznie ważnych komponentów

Przykład middleware do weryfikacji tokenu (JWT) w Express.js:

const jwt = require('jsonwebtoken');

function authMiddleware(req, res, next) {
    const token = req.headers['authorization'];
    try {
        const decoded = jwt.verify(token, 'SECRET_KEY');
        req.user = decoded;
        next();
    } catch (e) {
        res.status(401).send('Unauthorized');
    }
}

Kluczowe cechy:

• Strategia bezpieczeństwa wielowarstwowa (defense-in-depth)
• Minimalne uprawnienia dostępu (principle of least privilege)
• Niezawodna rotacja kluczy, szyfrowanie sekretów i kontrola dostępu

Pytania z pułapką.

Czy wystarczy używać HTTPS do pełnej ochrony ruchu API?

Nie, HTTPS chroni transmisje, ale nie gwarantuje braku luk w punktach końcowych lub bezpieczeństwa przechowywania danych.

Czy OAuth2 jest samodzielnym systemem uwierzytelniania?

Nie, OAuth2 to protokół autoryzacji; aby uzyskać identyfikację użytkownika, używa się OpenID Connect nad OAuth2.

Czy można zaufać tylko zewnętrznym usługom (np. IAM) do zarządzania dostępem?

Nie, zawsze potrzebny jest drugi poziom kontroli wewnątrz aplikacji (np. RBAC/ABAC), ponieważ błędy systemu zewnętrznego mogą otworzyć dostęp do krytycznych zasobów.