Какая разница в контексте веб-приложений? Я часто вижу аббревиатуру "auth". Стоит ли за Идентый -entication или Идент -orization? Или это оба?
authn
для аутентификации и authz
для авторизации
Какая разница в контексте веб-приложений? Я часто вижу аббревиатуру "auth". Стоит ли за Идентый -entication или Идент -orization? Или это оба?
authn
для аутентификации и authz
для авторизации
Ответы:
Аутентификация - это процесс установления того, что кто-то действительно является тем, кем он себя считает.
Авторизация относится к правилам, которые определяют, кому и что разрешено делать. Например, Адаму может быть разрешено создавать и удалять базы данных, а Усаме разрешено только чтение.
Эти две концепции являются полностью ортогональными и независимыми, но обе являются центральными для проектирования безопасности, и неспособность получить хотя бы одно правильное решение открывает путь к компромиссу.
С точки зрения веб-приложений, очень грубо говоря, аутентификация - это когда вы проверяете учетные данные входа в систему, чтобы увидеть, распознаете ли вы пользователя, вошедшего в систему, а авторизация - когда вы просматриваете в своем контроле доступа, позволяете ли вы пользователю просматривать, редактировать, удалять или создать контент.
Короче, пожалуйста. :-)
Аутентификация = логин + пароль (кто вы)
Авторизация = разрешения (что вам разрешено делать)
Короткое «auth», скорее всего, относится либо к первому, либо к обоим.
Как говорит Аутентификация против авторизации :
Аутентификация - это механизм, с помощью которого системы могут безопасно идентифицировать своих пользователей. Системы аутентификации дают ответы на вопросы:
- Кто такой пользователь?
- Действительно ли пользователь является тем, кем он / она представляет себя?
Авторизация , напротив, представляет собой механизм, с помощью которого система определяет, какой уровень доступа должен иметь конкретный аутентифицированный пользователь к защищенным ресурсам, контролируемым системой. Например, система управления базой данных может быть спроектирована так, чтобы предоставлять определенным указанным лицам возможность извлекать информацию из базы данных, но не изменять данные, хранящиеся в базе данных, в то же время предоставляя другим лицам возможность изменять данные. Системы авторизации дают ответы на вопросы:
- Имеет ли пользователь X право доступа к ресурсу R?
- Имеет ли пользователь X право выполнять операцию P?
- Имеет ли пользователь X право выполнять операцию P на ресурсе R?
Я предпочитаю Проверку и Разрешения Аутентификации и Авторизации.
В моем коде и в моем коде легче думать о «проверке» и «разрешениях», потому что два слова
Аутентификация - это проверка, а авторизация проверяет разрешение (я). Auth может означать и то и другое, но чаще используется как «User Auth», то есть «User Authentication»
Путаница понятна, поскольку два слова звучат одинаково, и поскольку понятия часто тесно связаны и используются вместе. Также, как уже упоминалось, часто используемое сокращение Auth не помогает.
Другие уже хорошо описали, что означают аутентификация и авторизация. Вот простое правило, помогающее четко разделить два элемента:
- Auth енти катионом Подтверждает ваш Id енти ти (или подлинность , если вы предпочитаете)
- Автор зации подтверждает вашу авторскую ность, т.е. ваше право на доступ и , возможно , изменить что - то.
Я попытался создать изображение, чтобы объяснить это в самых простых словах
1) Аутентификация означает «Вы тот, кем вы говорите?»
2) Авторизация означает «Должны ли вы быть в состоянии делать то, что пытаетесь делать?».
Это также описано на изображении ниже.
Я попытался объяснить это в наилучших возможных терминах и создал изображение того же самого.
Аутентификация - это процесс проверки заявленной личности.
Обычно сопровождается авторизацией , которая является подтверждением того, что вы можете делать то и это.
Добавление к ответу @ Kerrek;
Аутентификация является Обобщенной формой (Все сотрудники могут войти в систему на машине)
Авторизация является специализированной формой (но только администратор может устанавливать / удалять приложение на компьютере)
Аутентификация - это процесс проверки вашего логина по имени пользователя и паролю.
Авторизация - это процесс проверки того, что вы можете получить доступ к чему-либо.
Аутентификация - вы тот человек, на которого вы претендуете?
Авторизация. Вы уполномочены делать все, что пытаетесь?
Веб-приложение использует Google Sign-In . После успешного входа в систему Google отправляет обратно:
Дополнительно:
Компания может иметь панель администратора, которая позволяет службе поддержки пользователей управлять пользователями компании. Вместо предоставления настраиваемого решения для регистрации, которое позволило бы службе поддержки клиентов получить доступ к этой панели, компания использует Google Sign-In.
Маркер JWT (полученный от процесса входа в Google) отправляется на сервер авторизации компании, чтобы выяснить, есть ли у пользователя учетная запись G Suite с размещенным доменом организации (email@company.com)? И если они это сделают, являются ли они членом группы Google компании, которая была создана для поддержки клиентов? Если да ко всем вышеперечисленным, мы можем считать их аутентифицированными .
Затем сервер авторизации компании отправляет приложению панели мониторинга токен доступа. Этот токен доступа может использоваться для выполнения авторизованных запросов к серверу ресурсов компании (например, возможность сделать запрос GET к конечной точке, которая отправляет обратно всем пользователям компании).
Authentication
это процесс проверки:
digital signature
Authorization
следующий шаг после Authentication
. Речь идет о разрешениях / ролях / привилегиях для ресурсов. OAuth (открытая авторизация) является примером авторизации