قوائم تنقل مدركة للأذونات وتُطبق التحكم في الوصول

المشكلة التي تحلها قوائم التنقل المدركة للأذونات فعليًا

عندما يقول الناس "اخفِ الزر"، عادة يقصدون أمرين: تقليل الفوضى للمستخدمين الذين لا يستطيعون استخدام ميزة، أو منع سوء الاستخدام. الهدف الأول هو ما يمكن تحقيقه على الواجهة فقط.\n\nقوائم التنقل المدركة للأذونات هي في الأساس أداة تجربة مستخدم. تساعد شخصًا ما يفتح التطبيق على رؤية ما يمكنه فعله مباشرةً، دون أن يصطدم بشاشات "تم الرفض" عند كل نقرة تقريبًا. كما تقلّل من عبء الدعم عبر منع الالتباس مثل "أين أوافق على الفواتير؟" أو "لماذا تعطي هذه الصفحة خطأً؟"\n\nإخفاء عناصر الواجهة ليس أمانًا. إنه وضوح.

حتى زميل فضولي لا يزال بإمكانه:\n

• كتابة رابط عميق لصفحة مخفية إذا عرف عنوان URL\n- فتح إشارة مرجعية قديمة لشاشة إدارية\n- استدعاء الـ API مباشرةً عبر سكربت أو أداة\n- تعديل الطلبات من المتصفح ومحاولة معرفات مختلفة\n\nلذلك المشكلة الحقيقية التي تحلها قوائم التنقل المدركة هي الإرشاد الصادق. تبقي الواجهة متوافقة مع وظيفة ومهمة وسياق المستخدم، وتجعل من الواضح متى شيء غير متاح.

نهاية جيدة للنهج تبدو هكذا:

• يرى المستخدمون غالبًا إجراءات منطقية بالنسبة لهم، ونادرًا ما يواجهون أخطاء مفاجئة.
• لدى المطورين مصدر وحيد للحقيقة لقواعد الوصول، بدلًا من فحوصات مبعثرة.
• تغييرات المنتج أكثر أمانًا لأن أي عنصر قائمة جديد يجبرك على تقرير أي إذن يتطلبه.
• يُطبَّق الأمان حيث يهم: الخادم يرفض الإجراءات الممنوعة دائمًا، حتى لو عرضت الواجهة العناصر بالخطأ.

مثال: في CRM صغير، يجب أن يرى مندوب المبيعات Leads وTasks، لكن ليس إدارة المستخدمين. إذا لصق عنوان إدارة المستخدمين مع ذلك، يجب أن تفشل الصفحة بأمان، ويجب أن يمنع الخادم أي محاولة لعرض قائمة المستخدمين أو تغيير الأدوار.

الرؤية ليست التفويض

الرؤية هي ما تختاره الواجهة للعرض. التفويض هو ما سيسمح به النظام فعليًا عندما يصل الطلب للخادم.

قوائم التنقل المدركة بالأذونات تقلل الالتباس. إذا لم يُسمح لشخص برؤية Billing أو Admin أبدًا، فإخفاء هذه العناصر يحافظ على نظافة التطبيق ويقلل تذاكر الدعم. لكن إخفاء زر ليس قفلًا. لا يزال الناس قادرين على محاولة استدعاء نقطة النهاية الأساسية باستخدام أدوات المطور، أو إشارات مرجعية قديمة، أو طلب منسوخ.

قاعدة عملية: قرِّر الخبرة التي تريدها، ثم نفّذ القاعدة على الخادم مهما فعلت الواجهة.

عندما تقرر كيف تعرض إجراءً ما، تغطي ثلاث أنماط معظم الحالات:

• إخفاء عندما يجب أن تكون الميزة غير قابلة للاكتشاف لمعظم الأدوار (مثال: أدوات داخلية فقط).
• تعطيل عندما توجد الميزة لكن المستخدم لا يستطيع استخدامها الآن (مثال: التصدير معطل حتى ترقية الخطة، أو حتى اختيار سجل، أو أثناء تحميل البيانات).
• عرض مع تفسير عندما يحتاج المستخدمون لفهم سبب عدم تمكنهم من المتابعة ("يمكنك عرض الفواتير، لكن فقط المالكين يمكنهم تعديل طرق الدفع").

"يمكنك العرض لكن لا التعديل" شائع ويستحق التصميم الصريح. اعتبره إذنين: واحد للقراءة وآخر للتعديل. في القائمة قد تعرض تفاصيل العميل للجميع الذين يملكون حق القراءة، لكن تعرض "تعديل العميل" فقط لمن يملكون حق الكتابة. في الصفحة، اجعل الحقول للقراءة فقط وقم بتقييد أدوات التعديل، مع السماح بتحميل الصفحة.

الأهم من ذلك، الخادم يقرر النتيجة النهائية. حتى لو أخفت الواجهة كل إجراء إداري، يجب أن يفحص الخادم الأذونات على كل طلب حساس ويعيد استجابة واضحة "غير مسموح" عندما يحاول أحدهم.

اختر نموذج أذونات يمكنك صيانته

أسرع طريقة لنشر قوائم تنقل مدركة للأذونات هي البدء بنموذج يمكن لفريقك شرحه في جملة واحدة. إذا لم تستطع شرحه، فلن تحافظ عليه صحيحًا.

استخدم الأدوار للتجميع، ليس للمعنى. Admin وSupport دلاء مفيدة. لكن عندما تبدأ الأدوار بالتكاثر (Admin-West-Coast-ReadOnly)، تصبح الواجهة متاهة ويصبح الخادم تخمينًا.

فضل الأذونات كمصدر للحقيقة لما يمكن للشخص فعله. اجعلها صغيرة ومحددة بالأفعال، مثل invoice.create أو customer.export. هذا يتوسع أفضل من انتشار الأدوار لأن الميزات الجديدة عادة تضيف إجراءات جديدة، وليس مسميات وظيفية جديدة.

ثم أضف السياسات (القواعد) للسياق. هنا تتعامل مع "يمكن التعديل على سجلك فقط" أو "يمكن الموافقة على فواتير فقط أقل من 5,000". السياسات تمنعك من خلق عشرات الأذونات المتشابهة التي تختلف فقط بشرط.

طبقة قابلة للصيانة تبدو هكذا:

• الأدوار تجمع الأذونات (دور العمل)
• الأذونات تصف الأفعال (ماذا)
• السياسات تضيف السياق (متى، أي السجلات)

التسمية أهم مما يتوقع الناس. إذا قالت الواجهة Export Customers لكن الـ API يستخدم download_all_clients_v2، فسوف تخفي في النهاية الشيء الخطأ أو تمنع الشيء الصحيح. احتفظ بالأسماء بشرية، متسقة، ومشتركة بين الواجهة والخلفية:

• استخدم noun.verb (أو resource.action) باستمرار
• طابق تسميات الواجهة مع نية الإذن، ليس أسماء الشيفرة الداخلية
• اجعل أسماء الأذونات القديمة تعمل عند إعادة تسمية الميزات

مثال: في CRM، قد يتضمن دور المبيعات lead.create وlead.update، لكن سياسة تحدد التحديثات على العملاء التي يملكها المستخدم. هذا يبقي قائمتك واضحة بينما يظل الخادم صارمًا.

خطوة بخطوة: تنفيذ الأدوار والأذونات من البداية للنهاية

قوائم التنقل المدركة بالأذونات تبدو جيدة لأنها تقلل الفوضى وتمنع النقرات العرضية. لكنها تساعد فقط عندما يبقى الخادم هو المتحكم. فكر في الواجهة كدليل، والخادم كقاضي.

ابدأ بكتابة ما تحميه. ليس الصفحات، بل الإجراءات. عرض قائمة العملاء مختلف عن تصدير العملاء وحذف العميل. هذا هو العمود الفقري لقوائم التنقل المدركة التي لا تتحول لمسرحية أمنية.

وصفة عملية من البداية للنهاية

1. جرد الإجراءات عبر الواجهة وAPI. لكل ميزة، ادرج العمليات الملموسة: قراءة، إنشاء، تحديث، حذف، تصدير، دعوة، تغيير الفوترة، تشغيل تقارير إدارية.
2. عرّف الأذونات على الخادم كمصدر للحقيقة. خزّن ربط الدور-إلى-أذن في قاعدة البيانات (أو في الإعدادات)، واجعل كل معالج API يسأل "هل لدى هذا المستخدم إذن X على المورد Y؟"
3. أعد حزمة قدرات صغيرة للواجهة. بعد تسجيل الدخول (أو عند تحديث الجلسة)، أعد قيمًا منطقية مثل canEditCustomers، canDeleteCustomers، canExport، أو قائمة مضغوطة من سلاسل الأذونات. اجعلها موجزة.
4. نفّذ الفحوصات على كل عمليات الكتابة، وبعض قراءات الحساسة. يجب أن تفحص كل الطفرات (mutations) الأذونات. وبعض القراءات يجب أن تُفحص أيضًا (مثال: الرواتب، سجلات التدقيق، التصديرات، أو أي نقطة نهاية تتجاوز الفلترة الاعتيادية).
5. أضف بعض اختبارات متمركزة على الأدوار. اختر 2-3 أدوار رئيسية واختبر الإجراءات الأعلى خطورة. مثال: Sales يمكنه إنشاء الصفقات لكنه لا يمكنه تصدير العملاء، وAdmin يمكنه دعوة المستخدمين.

قاعدة صغيرة لكن مهمة: لا تثق بعلامات الدور أو الأذونات المرسلة من العميل. يمكن للواجهة إخفاء الأزرار اعتمادًا على القدرات، لكن واجهة الـ API يجب أن ترفض الطلبات غير المصرح بها.

أنماط واجهة أمامية تظل صادقة

يجب أن تساعد قوائم التنقل المدركة الأشخاص على إيجاد ما يمكنهم فعله، وليس الادعاء بأنها تفرض الأمان. الواجهة هي درابزين إرشادي. الخادم هو القفل.

بُنِّ قوائم من مصدر واحد للحقيقة

بدلًا من نشر فحوصات الأذونات على كل زر، عرّف التنقل من تكوين واحد يتضمّن الإذن المطلوب لكل عنصر، ثم اعرض القوائم من هذا التكوين. هذا يحافظ على قابلية قراءة القواعد ويتجنب فحوصات منسية في زوايا الواجهة.

نمط بسيط يبدو هكذا:

const menu = [
  { label: "Contacts", path: "/contacts", requires: "contacts.read" },
  { label: "Export", action: "contacts.export", requires: "contacts.export" },
  { label: "Admin", path: "/admin", requires: "admin.access" },
];

const visibleMenu = menu.filter(item => userPerms.includes(item.requires));

فضّل إخفاء أقسام كاملة (مثل Admin) بدلًا من نشر الفحوصات على كل رابط صفحة إدارية. هذا أقل أماكن لتنسى شيئًا.

حالات صادقة: مخفي مقابل معطل

اخفِ العناصر عندما لا يُسمح للمستخدم بها أبدًا. عطّل العناصر عندما يمتلك المستخدم الإذن لكن يفتقر إلى السياق الحالي.

مثال: يجب تعطيل "حذف جهة اتصال" حتى يتم اختيار جهة اتصال. نفس الإذن، لكن لا يوجد سياق كافٍ بعد. عند التعطيل، أضف رسالة قصيرة تشرح السبب (تلميح، نص مساعد، أو ملاحظة داخلية): اختر جهة اتصال للحذف.

مجموعة قواعد تتحمل:

• اخفِ عندما يفتقر المستخدم للإذن.
• عطّل عندما يملك المستخدم الإذن لكن لم يتم اختيار عنصر، أو النموذج غير صالح، أو البيانات لا تزال تُحمّل.
• لا تعامل التخزين المحلي كحقيقة للأذونات؛ إنه مجرد ذاكرة مؤقتة.
• أعِد فحص الأذونات بعد تسجيل الدخول، أو تغيير الدور، أو تبديل الحساب.

تطبيق الخادم الذي لا يمكن تجاوزه

إخفاء عناصر القائمة يساعد الناس على التركيز، لكنه لا يحمي شيئًا. يجب أن يكون الخادم الحكم النهائي لأن الطلبات يمكن إعادة تشغيلها أو تعديلها أو تفعيلها خارج واجهتك.

قاعدة جيدة: كل إجراء يغيّر البيانات يحتاج فحص أذونات واحد، في مكان واحد، يمر به كل طلب. يمكن أن يكون هذا وسطية (middleware)، غلاف معالج، أو طبقة سياسات صغيرة تستدعيها في بداية كل نقطة نهاية. اختر نهجًا واحدًا والتزم به، وإلا ستفوت مسارات.

ضع الفحص على مسار الطلب

حافظ على التفويض منفصلًا عن التحقق من صحة المدخلات. قرر أولًا، "هل مسموح لهذا المستخدم بهذا؟"، ثم تحقق من الحمولة. إذا تحققت أولًا، فقد تكشف تفاصيل (مثل وجود معرفات سجلات) لشخص لا ينبغي حتى أن يعرف أن الإجراء ممكن.

نمط يتوسع جيدًا:

• صادِق المُتصل وابنِ هوية واضحة (معرّف المستخدم، معرّف المنظمة، الأدوار، الأذونات).
• حمّل سياق المورد اللازم للتفويض (غالبًا owner id أو org id).
• استدعي دالة سياسة واحدة (مثال: Can(user, "invoice.delete", invoice)).
• إذا رُفض، أوقف فورًا وأعد الحالة المناسبة.
• بعد ذلك فقط تحقق من الصحة ونفّذ المنطق التجاري.

أعد استجابات واضحة ومتسقة

استخدم رموز حالة تساعد الواجهة وسجلاتك:

• 401 Unauthorized عندما لا يكون المتصل مسجلاً.
• 403 Forbidden عندما يكون مسجلاً لكنه غير مسموح.

كن حذرًا مع 404 Not Found كتمويه. يمكن أن يكون مفيدًا لتجنب كشف وجود مورد، لكن إذا استخدمته عشوائيًا يصبح استكشاف الأخطاء صعبًا. اختر قاعدة ثابتة لكل نوع مورد.

تأكد أن نفس التفويض يُجرى سواء جاء الإجراء من نقرة زر، تطبيق موبايل، سكربت، أو استدعاء API مباشر.

أخيرًا، سجّل محاولات الرفض للتتبع والمراجعة، لكن احرص على حماية السجلات. سجّل من، أي إجراء، ونوع المورد على مستوى عال. تجنّب الحقول الحساسة أو الحمولات الكاملة أو الأسرار.

حواف تظهر الفرق في التصميم

معظم أخطاء الأذونات تظهر عندما يفعل المستخدمون شيئًا لم تتوقعه قائمتك. لهذا السبب قوائم التنقل المفيدة لا تكفي إذا لم تصمم أيضًا للمسارات التي تتجاوزها.

الروابط العميقة والشاشات "المخفية"

إذا أخفت القائمة قسم Billing لدور ما، لا يزال المستخدم قادرًا على لصق عنوان محفوظ أو فتحه من تاريخ المتصفح. عامل كل تحميل صفحة كطلب جديد: احصل على أذونات المستخدم الحالية، واجعل الشاشة نفسها ترفض تحميل البيانات المحمية عندما يفتقد الإذن. رسالة ودودة "ليس لديك صلاحية" جيدة، لكن الحماية الحقيقية أن الخادم لا يعيد شيئًا.

الاستدعاءات المباشرة للـ API ونقاط النهاية الجماعية

يمكن لأي شخص استدعاء API من أدوات المطور، سكربت، أو عميل آخر. لذا افحص الأذونات على كل نقطة نهاية، ليس فقط شاشات الإدارة. الخطر السهل الإغفال هو الإجراءات الجماعية: نقطة نهاية واحدة /items/bulk-update قد تسمح لغير المسؤول بتغيير حقول لا يرونها في الواجهة.

قد تتغير الأدوار أيضًا أثناء الجلسة. إذا أزال المسؤول إذنًا، قد يبقى لدى المستخدم رمز قديم أو حالة قائمة مخزنة. استخدم رموزًا قصيرة العمر أو بحثًا على الخادم للأذونات، وتعامل مع 401/403 بتحديث القدرات وتحديث الواجهة.

الأجهزة المشتركة تبعث فخًا آخر: حالة القائمة المخزنة قد تتسرب بين الحسابات. خزّن ظهور القائمة مفاتيح بمعرّف المستخدم، أو تجنّب حفظها أصلًا.

خمسة اختبارات تجدر إجراؤها قبل الإطلاق:

• افتح رابطًا عميقًا لصفحة مخفية أثناء تسجيل الدخول بدور محدود
• استدعِ API محميًا بطلب منسوخ من أدوات المطور
• غيّر دور المستخدم أثناء نشاطه ثم أعد المحاولة
• سجّل الخروج، وسجّل الدخول كمستخدم آخر وتحقق أن القائمة أعيدت
• جرّب نقاط النهاية الجماعية مع حقول مختلطة مسموح وممنوع

سيناريو مثال: قائمة CRM بسيطة مع تطبيق حقيقي

تخيل CRM داخلي بثلاثة أدوار: Sales، Support، وAdmin. الجميع يسجل الدخول والتطبيق يعرض قائمة يسارية، لكن القائمة مجرد وسيلة راحة. السلامة الحقيقية هي ما يسمح به الخادم.

ها قائمة أذونات بسيطة تبقى مقروءة:

• Leads: view, create, edit, delete, export
• Tickets: view, create, edit, assign
• Billing: view, edit
• Users: view, manage

تبدأ الواجهة بطلب من الخادم إجراءات المستخدم المسموح بها (كقائمة سلاسل الأذونات) بالإضافة إلى سياق أساسي مثل معرّف المستخدم والفريق. تُبنى القائمة من ذلك. إذا لم تكن لديك billing.view، فلن ترى Billing. إذا كان لديك leads.export، سترى زر التصدير في شاشة Leads. إذا كان بإمكانك تعديل Leads التي تملكها فقط، قد يظهر زر Edit لكن يجب أن يكون معطلاً أو يعرض رسالة واضحة عندما لا يكون العميل ملكك.

والجزء المهم: كل نقطة نهاية إجراء تطبق نفس القواعد.

مثال: Sales يمكنه إنشاء Leads وتعديل تلك التي يملكها. Support يمكنه عرض التذاكر وتعيينها، لكنه لا يلمس الفوترة. Admin يدير المستخدمين والفوترة.

عندما يحاول أحدهم حذف Lead، يتحقق الخادم:

1. هل لدى المستخدم leads.delete؟
2. إذا كانت القاعدة "الملكية فقط"، هل lead.owner_id == user.id؟
3. إذا كان الـ Lead مقفلاً (مثلاً، مفوتر بالفعل)، هل الحذف محظور على الجميع عدا Admin؟

حتى لو استدعى مستخدم Support نقطة نهاية الحذف يدويًا، يحصل على استجابة ممنوعة. عنصر القائمة المخفي لم يكن الحماية. القرار كان على الخادم.

أخطاء وفخاخ شائعة

أكبر فخ هو التفكير أنك انتهيت عندما تبدو القائمة صحيحة. إخفاء الأزرار يقلل الالتباس، لكنه لا يقلل المخاطر.

الأخطاء الأكثر شيوعًا:

• "غير مرئي" يصبح "غير ممكن". لا يزال شخص ما قادرًا على استدعاء الـ API أو إعادة استخدام عنوان قديم أو تفعيل الإجراء عبر أدوات المطور. اعتبر إخفاء الواجهة كراحة، لا بوابة.
• الفحوصات على الواجهة فقط. إذا قررت الواجهة من يمكنه حذف سجل، فقد خسرت. الخادم يجب أن يكون الحكم النهائي لكل إجراء محمي.
• علامة "isAdmin" عملاقة لكل شيء. تبدو سريعة، ثم تنتشر. قريبًا يصبح كل استثناء حالة خاصة ولا أحد يقدر يشرح قواعد الوصول.
• الثقة في أن العميل يخبرك الدور. لا تقبل role أو isAdmin أو permissions من المتصفح كحقيقة. استخرج الهوية والوصول من جلستك أو رمزك، ثم ابحث عن الأدوار والأذونات من طرف الخادم.
• نسيان أذونات القراءة. الفرق يركز على الكتابة، لكن تسريبات البيانات عادة تأتي من القراءات. قوائم العملاء، عرض الفواتير، التصدير والبحث غالبًا تحتاج فحوصات أيضًا.

مثال ملموس: تخفي قائمة تصدير Leads لغير المدراء. إذا لم يفحص نقطة نهاية التصدير الأذونات أيضًا، يمكن لأي مستخدم يخمن الطلب (أو ينسخه من زميل) تنزيل الملف.

قائمة تحقق سريعة قبل الإطلاق

قبل طرح قوائم التنقل المدركة، قم بجولة أخيرة تركز على ما يمكن للمستخدمين فعلاً فعله، لا ما يمكنهم رؤيته.

تجوّل في التطبيق ككل دور رئيسي وجرب مجموعة الإجراءات نفسها. افعل ذلك في الواجهة وأيضًا باستدعاء نقاط النهاية مباشرة (أو باستخدام أدوات المطور) للتأكد أن الخادم هو مصدر الحقيقة.

قائمة التحقق:

• لكل إجراء محمي، تأكد من وجود فحص تفويض على الخادم في نقطة التنفيذ (ليس فقط عند بناء القائمة).
• اجعل الواجهة تعرض الإجراءات من قدرات مقدمة من الخادم (مثلاً قائمة can-list من الجلسة أو نقطة نهاية أذونات) بدلًا من التخمين من أسماء الأدوار.
• تحقق أن الواجهة تتعامل مع الاستجابات الممنوعة بشكل طبيعي: أظهر رسالة واضحة، حافظ على استقرار الصفحة، وتجنّب ترك المستخدم في حالة عطل.
• اختبر تغييرات الدور والأذونات. عند تحديث الوصول من قبل مسؤول، يجب أن يسري سريعًا ومتوقعًا (تحديث الرموز، إبطال الجلسات، أو نسخ إصدار الأذونات).
• نفّذ بعض الاختبارات عالية القيمة التي تغطي الأدوار والإجراءات التي تمس المال، والتصديرات، والحذف، وإعدادات الإدارة.

طريقة عملية لكشف الفجوات: اختر زرًا "خطيرًا" (حذف مستخدم، تصدير CSV، تغيير الفوترة) وتتبع المسار من البداية للنهاية. يجب أن يكون عنصر القائمة مخفيًا عند اللزوم، ونقطة نهاية الـ API ترفض المكالمات غير المصرح بها، والواجهة تتعافى بلطف عند استلام 403.

خطوات تالية: انشر بأمان دون إبطاء التطوير

ابدأ صغيرًا. لست بحاجة لمصفوفة وصول مثالية في اليوم الأول. اختر مجموعة الإجراءات المهمة (عرض، إنشاء، تعديل، حذف، تصدير، إدارة مستخدمين)، ضعها على الأدوار الموجودة، وتابع.

قبل بناء الشاشات، قم بجولة تخطيطية سريعة تدرج الإجراءات، لا الصفحات. عنصر قائمة مثل Invoices يخفي الكثير من الإجراءات: عرض القائمة، عرض التفاصيل، إنشاء، رد الأموال، تصدير. كتابة هذه الأمور أولًا تجعل الواجهة وقواعد الخادم أوضح، وتمنع الخطأ الشائع المتمثل في تقييد صفحة كاملة بينما تترك نقطة نهاية خطرة غير محمية.

عند إعادة هيكلة قواعد الوصول، عاملها كأي تغيير خطير: احتفظ بشبكة أمان. اللقطات (snapshots) تتيح مقارنة السلوك قبل وبعد. إذا فقد دور حقًا يحتاجه أو اكتسب حقًا لا يجب أن يحصل عليه، فإن التراجع أسرع من تصحيح الإنتاج بينما المستخدمون معطلون.

روتين إصدار بسيط يساعد الفرق على التحرك بسرعة دون التخمين:

• اكتب قائمة الإجراءات للميزة وسم كل إذن.
• أضف فحوصات الخادم أولًا، ثم اربط رؤية الواجهة بنفس الأذونات.
• اختبر دورًا مسموحًا ودورًا مرفوضًا لكل إجراء خطير.
• سجّل محاولات الرفض (بدون بيانات حساسة) لتكتشف الفجوات.
• التقط لقطة قبل الطرح لتتمكن من التراجع بسرعة إذا لزم الأمر.

إذا كنت تبني بمنصة محادثة مثل Koder.ai (koder.ai)، ينطبق نفس الهيكل: حدّد الأذونات والسياسات مرة واحدة، اجعل الواجهة تقرأ القدرات من الخادم، واجعل فحوصات الخادم غير اختيارية في كل معالج.