Авторизация — процесс предоставления пользователю прав и привилегий для выполнения определённых действий или доступа к определённым ресурсам. В отличие от аутентификации (которая отвечает на вопрос «кто вы?»), авторизация отвечает на вопрос «что вам разрешено?». Авторизация всегда следует за аутентификацией: сначала система убеждается, что это вы, затем определяет, что вам можно делать.
Простой пример: когда вы входите в WordPress (аутентификация), система определяет вашу роль — администратор, редактор, автор, подписчик (авторизация). Каждая роль имеет свой набор прав доступа к функциям и контенту.
Разница между аутентификацией и авторизацией
- Аутентификация (Authentication) — «Ты точно Иван Иванов?» — проверка личности.
- Авторизация (Authorization) — «Иван Иванов может редактировать статьи, но не удалять пользователей» — проверка прав.
Часто в обиходе слова «авторизация» и «аутентификация» используются взаимозаменяемо («войти в систему» = «авторизоваться»), хотя технически это разные понятия.
Модели авторизации
- RBAC (Role-Based Access Control) — управление доступом на основе ролей. Каждой роли назначаются права, пользователю — роль. Используется в WordPress, большинстве CMS.
- ABAC (Attribute-Based Access Control) — права определяются атрибутами пользователя, ресурса и контекста. Более гибко, но сложнее.
- ACL (Access Control List) — списки доступа: для каждого ресурса явно указывается, кто и что может делать.
- OAuth 2.0 — протокол авторизации, позволяющий одному приложению получить доступ к ресурсам пользователя в другом приложении без передачи пароля (например, SEO-инструмент получает доступ к Google Search Console).
Авторизация и SEO
- Закрытый контент — контент, доступный только авторизованным пользователям, не индексируется поисковиками. Личные кабинеты, истории заказов, приватные материалы подписки — вне зоны SEO.
- Разграничение прав в CMS — правильная настройка ролей предотвращает случайное изменение robots.txt, метатегов или публикацию неоптимизированного контента сотрудниками без SEO-знаний.
- API-авторизация — SEO-инструменты, интегрированные через API (Search Console, Analytics), используют OAuth 2.0. Правильно настроенная авторизация = безопасный доступ к данным без риска несанкционированных изменений.
Часто задаваемые вопросы
Как настроить права доступа в WordPress для SEO-команды?
Рекомендуемые роли: SEO-специалист — «Редактор» (может редактировать посты, категории, метаданные, но не затрагивает технические настройки). Копирайтер — «Автор» (создаёт и публикует свои посты). Только администратор должен иметь доступ к: настройкам плагина Rank Math/Yoast (robots.txt, sitemap), редиректам, настройкам темы и PHP. Используйте плагины типа Members или User Role Editor для тонкой настройки прав под конкретный workflow.
Что такое OAuth и зачем он нужен для SEO-инструментов?
OAuth 2.0 — стандарт авторизации, позволяющий сторонним приложениям получить ограниченный доступ к вашим ресурсам без раскрытия пароля. В SEO: вы авторизуете Semrush или Screaming Frog в Google Search Console — они получают токен с правом читать данные GSC, но не могут изменить настройки или получить ваш пароль. Важно: регулярно проверяйте список авторизованных приложений в настройках Google/Яндекс-аккаунта и отзывайте доступ у неиспользуемых сервисов.
Как разграничить публичный и приватный контент для поисковиков?
Стратегия: 1) Публичные страницы (лендинги, блог, каталог) — без авторизации, открыты для краулинга. 2) Закрытые разделы (личный кабинет, /dashboard/, /account/) — требуют авторизации. Добавьте robots.txt: Disallow: /account/ + <meta name="robots" content="noindex"> на страницы за авторизацией. 3) При переходе на закрытую страницу без авторизации — редирект на страницу входа (302, не 301), а не 404. Бот не будет пытаться индексировать 302 без авторизации.
Чем 401 Unauthorized отличается от 403 Forbidden в SEO-контексте?
HTTP 401 (Unauthorized) — сервер требует аутентификации: «Кто вы? Представьтесь.» Возвращается при доступе к защищённому ресурсу без авторизационных данных. HTTP 403 (Forbidden) — сервер понимает, кто вы, но запрещает доступ: «Вы идентифицированы, но у вас нет прав.» Для Googlebot оба означают «контент недоступен». 401 Google интерпретирует как «ресурс защищён авторизацией», 403 — как «доступ запрещён». Ни тот, ни другой не должны возникать для публичных страниц, которые должны быть проиндексированы.
