Ko‘pchilik tizimlarda foydalanuvchi login qilgandan keyin barcha endpointlar bir xil darajada ishonchli deb qabul qilinadi. Aslida esa bu noto‘g‘ri yondashuv.

Bunday endpointlar uchun faqat access tokenning mavjudligi yetarli bo‘lmasligi kerak.

Re-auth bu foydalanuvchidan yana bir marta o‘zini tasdiqlashni talab qilishdir. Odatda parolni qayta kiritish orqali amalga oshiriladi. Bu ayniqsa access token o‘g‘irlangan holatlarda muhim, chunki hujumchi parolni bilmasligi mumkin.

Step-up verification esa kontekstga qarab qo‘shimcha xavfsizlik qatlamini yoqadi. Masalan yangi qurilmadan kirilganda, IP keskin o‘zgarganda yoki foydalanuvchi noodatiy harakat qilganda tizim bir martalik kod, push tasdiqlash yoki 2FA talab qiladi.

Texnik tomondan bu qanday ishlaydi.

Sensitive endpointlar alohida policy yoki middleware orqali himoyalanadi. Access token ichida oxirgi re-auth vaqti yoki auth level saqlanadi. Agar bu qiymat yetarli bo‘lmasa, server qo‘shimcha tasdiqlashni talab qiladi.

Masalan foydalanuvchi login qilgan, lekin oxirgi re-auth 24 soat oldin bo‘lgan. U parolni o‘zgartirmoqchi bo‘lsa, server 401 emas, balki maxsus response bilan re-auth talab qiladi.

Xulosa shuki, barcha endpointlarni bir xil himoya qilish soddaroq, lekin xavfliroq. To‘g‘ri yondashuv bu muhim amallarni alohida xavfsizlik darajasiga ko‘tarish. Bu nafaqat hujumlardan himoya qiladi, balki real dunyodagi bank va fintech tizimlarida allaqachon isbotlangan yondashuv hisoblanadi.