Использовалась ли в вашем предыдущем проекте система авторизации пользователей?

Что хотят услышать интервьюеры:

Ожидают понять, был ли практический опыт с авторизацией и насколько хорошо различаются аутентификация и авторизация. Важны понимание ролей, прав доступа, проверки токенов или сессий, а также интеграции с backend. Хороший ответ показывает, что известны типовые проблемы: защита endpoints, разграничение доступа и аудит действий.

Определение:

Авторизация — это проверка, какие действия и ресурсы доступны уже идентифицированному пользователю. Она отвечает на вопрос не «кто ты?», а «что тебе можно?». Обычно реализуется через роли, права, политики доступа или ACL.

Пример использования:

В Java-проекте авторизация могла быть построена так: после успешного входа пользователь получал JWT, а при вызове API backend проверял роль и разрешал доступ только к нужным методам.

// Пример проверки роли на уровне сервиса
public void deleteUser(User currentUser, Long userId) {
    if (!currentUser.hasRole("ADMIN")) {
        throw new SecurityException("Недостаточно прав");
    }
    userRepository.deleteById(userId);
}

Пояснение кода:

Код не требуется, но пример можно разобрать по шагам: сначала в систему уже должен быть получен текущий пользователь, затем проверяется его роль, и только после этого выполняется удаление. Если роль не подходит, операция прерывается исключением. На практике такая проверка часто выносится в framework-level security, чтобы не дублировать ее в каждом методе.

Ключевые моменты:

• Авторизация всегда идет после аутентификации.
• Реализация обычно строится на ролях, правах или политике доступа.
• Проверки лучше делать централизованно, а не вручную в каждом месте.
• Для API часто используют JWT, сессии или интеграцию с OAuth2/OpenID Connect.
• Важно защищать не только UI, но и backend endpoints.