Я вижу, что эти два термина довольно часто используются (особенно в веб-сценариях, но я полагаю, что это не ограничивается этим), и мне было интересно, есть ли разница.
Мне кажется, что оба они означают, что вам разрешено делать то, что вы делаете. Так это просто номенклатура или есть принципиальная разница в значениях?
Ответы:
Действительно, есть принципиальная разница. Аутентификация - это механизм, с помощью которого системы могут безопасно идентифицировать своих пользователей. Системы аутентификации стремятся дать ответы на вопросы:
Авторизация, напротив, - это механизм, с помощью которого система определяет, какой уровень доступа должен иметь конкретный (аутентифицированный) пользователь к ресурсам, контролируемым системой. В качестве примера, который может быть связан или не быть связан с веб-сценарием, система управления базой данных может быть спроектирована так, чтобы предоставить определенным конкретным лицам возможность извлекать информацию из базы данных, но не возможность изменять данные, хранящиеся в база данных, давая другим людям возможность изменять данные. Системы авторизации дают ответы на вопросы:
Стив Райли написал неплохое эссе о том, почему они должны оставаться разными.
Главное:
Аутентификация:
Аутентификация - это процесс проверки личности пользователя путем получения каких-либо учетных данных и использования этих учетных данных для проверки личности пользователя. Если учетные данные действительны, запускается процесс авторизации. Процесс аутентификации всегда переходит в процесс авторизации.
Авторизация:
Авторизация - это процесс разрешения аутентифицированным пользователям доступа к ресурсам путем проверки наличия у пользователя прав доступа к системе. Авторизация помогает вам контролировать права доступа, предоставляя или запрещая определенные разрешения аутентифицированному пользователю.
По моему опыту, аутентификация обычно относится к более техническому процессу, то есть аутентификации пользователя (путем проверки учетных данных для входа / пароля, сертификатов и т.д.), тогда как авторизация больше используется в бизнес-логике приложения.
Например, в приложении пользователь может войти в систему и пройти аутентификацию, но не авторизован для выполнения определенных функций.
Аутентификация пользователя на веб-сайте означает, что вы подтверждаете, что этот пользователь является действительным пользователем, то есть проверяете, кто этот пользователь использует имя пользователя / пароль или сертификаты и т. Д. В общих чертах, разрешено ли человеку входить в здание?
Авторизация - это процесс проверки, есть ли у пользователя права / разрешение на доступ к определенным ресурсам или разделам веб-сайта, например, если это CMS, то это пользователь, уполномоченный изменять содержимое веб-сайта. С точки зрения сценария офисного здания, пользователю разрешено входить в сетевую комнату офиса.
Если я могу войти в систему, мои учетные данные будут проверены, и я АУТЕНТИЧНО. Если я могу выполнить конкретную задачу, я УПОЛНОМОЧЕННО на это.
Аутентификация проверяет, кто вы, а авторизация проверяет, что вам разрешено делать. Например, вам разрешено входить на ваш Unix-сервер через ssh-клиент, но вы не авторизованы для браузера / data2 или любой другой файловой системы. Авторизация происходит после успешной аутентификации ........
Аутентификация проверяет, кто вы, а авторизация проверяет, что вам разрешено делать. Например, вам разрешено войти на ваш Unix-сервер через ssh-клиент, но вы не авторизованы для браузера / data2 или любой другой файловой системы. Авторизация происходит после успешной аутентификации.
Аутентификация: проверка личности пользователя.
Для аутентификации пользователь предоставляет учетную информацию, такую как имя пользователя и пароль, и, если учетные данные действительны, пользователь получает токен, который может быть отправлен с будущими запросами в качестве подтверждения его аутентификации.
Авторизация: определение того, что пользователю разрешено делать.
С точки зрения пользователя, успешная авторизация происходит, когда он может отправить запрос на доступ к системе и что-то сделать (например, загрузить файл в систему), и это работает.
Аутентификация только подтверждает личность - она подтверждает, что пользователь является тем, кем он себя называет. Авторизация определяет, к каким ресурсам может получить доступ проверенный пользователь.
Аутентификация
Аутентификация проверяет, кто вы. Например, вы можете войти на свой сервер с помощью клиента ssh или получить доступ к своему почтовому серверу с помощью клиентов POP3 и SMTP.
Авторизация
Авторизация проверяет, что вы имеете право делать. Например, вам разрешено войти на свой сервер через ssh-клиент, но вы не авторизованы для браузера / data2 или любой другой файловой системы. Авторизация происходит после успешной аутентификации.
Авторизация - это процесс, с помощью которого сервер определяет, есть ли у клиента разрешение на использование ресурсов или доступа к файлу.
Аутентификация используется сервером, когда серверу необходимо точно знать, кто обращается к их информации или сайту.
Простой пример в реальном времени. Если ученик идет в школу, тогда директор проверяет аутентификацию и авторизацию. Аутентификация: проверьте студенческий билет, это означает, что он или она принадлежит к нашей школе или нет. Авторизация: проверьте, есть ли у учащегося разрешение работать в Лаборатории компьютерного программирования.
Я попытался создать образ, чтобы объяснить это самыми простыми словами
1) Аутентификация означает: «Вы тот, кем себя называете?»
2) Авторизация означает «Уметь ли вы делать то, что пытаетесь сделать?».
Это также описано на изображении ниже.
Аутентификация :
Это процесс проверки того, является ли личность истинной или ложной. Другими словами, проверка того, что пользователь действительно является тем, кем он или она себя называет.
Типы аутентификации:
OpenID - это открытый стандарт аутентификации.
Авторизация
Метод, определяющий, какие ресурсы доступны пользователю с заданной идентичностью или ролью.
OAuth - это открытый стандарт авторизации.
Аутентификация : приложению необходимо знать, кто обращается к нему. Итак, аутентификация связана со словом who. Приложение проверит это через форму входа. Пользователь будет вводить имя пользователя и пароль, и эти данные будут подтверждены приложением. После успешной проверки пользователь объявляется прошедшим проверку подлинности.
Авторизация - это проверка, может ли пользователь получить доступ к приложению или какой пользователь может получить доступ и какой пользователь не может получить доступ. Источник: аутентификация против авторизации
По сравнению с остальными ответами, которые пытаются явно указать определение или технологию. Я представлю пример может быть более ценным.
Вот статья, в которой проводится отличная аналогия паспорта с замком и ключом.
Говоря об аутентификации (также называемой AuthN), подумайте об идентичности. Аутентификация пытается ответить: «Это человек, о котором они говорят?» Это программный эквивалент паспорта или проверки национального удостоверения личности. Или, говоря более реалистично, аутентификация - это процесс, похожий на тот момент, когда вы смотрите в лицо другого человека, чтобы узнать, что это ваш друг из колледжа, а не раздражающий сосед по второму этажу.
С другой стороны, авторизация (также называемая AuthZ) - это все о разрешениях. Авторизация отвечает на вопрос «что этому человеку разрешено делать в этом пространстве?» Вы можете считать его ключом от дома или офисным значком. Вы можете открыть входную дверь? Может ли назойливый сосед зайти в вашу квартиру по желанию? И еще, оказавшись в вашей квартире, кто сможет пользоваться туалетом? Кто может есть из вашего секретного хранилища печенья, спрятанного в кухонном шкафу?