Segurança: Autorização para acesso aos recursos

O usuário, uma vez atenticado (ele provou ser quem diz ser), pode ter restrições que o impedem de acessar determinadas funcionalidades da aplicação. Por exemplo, um funcionário não deveria ter acesso ao módulo que gerencia os pagamentos dos salários.

A segurança está relacionada ao fato que em muitas aplicações há diferentes tipos de usuário. Cada tipo está autorizado a acessar um conjunto pré-determinado de funcionalidades.

Uso de filtros

A estratégia mais utilizada para implementar este aspecto de segurança é a utilização de filtros.

No programa servidor, a requisição HTTP é interceptada antes de ser atendida e é feita uma análise para verificar se há usuário autenticado e se este usuário está autorizado a acessar o recurso solicitado. Em caso negativo, a resposta HTTP indica que o usário não está autorizado.