Чи є різниця між автентифікацією та авторизацією?

Я бачу, що ці два терміни обмежені приблизно (зокрема, в сценаріях на веб-основі, але, мабуть, це не обмежується), і мені було цікаво, чи є різниця чи ні.

Мені здається, що вони обоє означають, що вам дозволяється робити те, що ви робите. Так це лише номенклатурна річ, чи є основна різниця в значенні?

Дійсно є принципова різниця. Автентифікація - це механізм, за допомогою якого системи можуть безпечно ідентифікувати своїх користувачів. Системи аутентифікації прагнуть надати відповіді на запитання:

• Хто користувач?
• Чи дійсно користувач тим, ким вони претендують / представляють?

Авторизація, навпаки, - це механізм, за допомогою якого система визначає, яким рівнем доступу конкретний (автентифікований) користувач повинен мати ресурси, якими керує система. Для прикладу, який може бути або не пов’язаний із веб-сценарієм, система управління базами даних може бути спроектована таким чином, щоб надати певним визначеним особам можливість отримувати інформацію з бази даних, але не можливість змінювати дані, що зберігаються в База даних, надаючи можливість іншим особам змінювати дані. Системи авторизації надають відповіді на запитання:

• Чи має право користувач X отримати доступ до ресурсу R?
• Чи має право користувач X виконувати операцію P?
• Чи має право користувач X виконувати операцію P на ресурсі R?

Стів Райлі написав непоганий твір про те, чому вони повинні залишатися чіткими.

Підтвердження автентичності означає підтвердження особи. Авторизація стосується того, що дозволено робити автентифікованому об'єкту (наприклад, дозволи файлів).

Основний момент:

• Автентифікація стосується перевірки облікових записів користувачів. Це дійсний користувач? Чи зареєстрований цей користувач у нашій програмі? наприклад: Вхід
• Авторизація стосується перевірки доступу користувачів до певної функції. Чи має цей користувач дозвіл / право на доступ до цієї функції? наприклад: Претензії, ролі

Аутентифікація:

Аутентифікація - це процес перевірки особи користувача шляхом отримання певних даних та використання цих даних для перевірки особи користувача. Якщо облікові дані є дійсними, починається процес авторизації. Процес аутентифікації завжди переходить до процесу авторизації.

Авторизація:

Авторизація - це процес дозволу автентифікованим користувачам отримати доступ до ресурсів шляхом перевірки наявності у користувача прав доступу до системи. Авторизація допомагає контролювати права доступу, надаючи або забороняючи певні дозволи автентифікованому користувачеві.

На мій досвід, автентифікація зазвичай стосується більш технічного процесу, тобто аутентифікації користувача (шляхом перевірки даних для входу / пароля, сертифікатів тощо), тоді як авторизація використовується більше в бізнес-логіці програми.

Наприклад, у програмі користувач може увійти та пройти автентифікацію, але не мати права виконувати певні функції.

Автентифікація користувача на веб-сайті означає, що ви перевіряєте, що цей користувач є дійсним користувачем, тобто перевіряє, хто користувач використовує ім’я користувача / пароль або сертифікати тощо. За загальними словами, чи може особа входити до будівлі?

Авторизація - це процес перевірки наявності у користувача прав / дозволу на доступ до певних ресурсів або розділів веб-сайту, наприклад, якщо його CMS, то користувач має право змінювати вміст веб-сайту. З точки зору сценарію офісної будівлі, чи дозволяється користувачеві входити в мережу приміщення офісу.

Якщо я можу ввійти, мої облікові дані перевіряються, і я АВТОЕНТИЧНИЙ. Якщо я можу виконати певне завдання, я уповноважений це робити.

Автентифікація підтверджує, хто ви є, а Авторизація підтверджує, що ви маєте право робити. Наприклад, вам дозволяється входити на ваш сервер Unix через ssh-клієнт, але ви не маєте права переглядати / data2 або будь-яку іншу файлову систему. Авторизація відбувається після успішної аутентифікації ........

Автентифікація підтверджує, хто ви є, а Авторизація підтверджує, що ви маєте право робити. Наприклад, вам дозволяється входити на ваш сервер Unix через ssh-клієнт, але ви не маєте права переглядати / data2 або будь-яку іншу файлову систему. Авторизація відбувається після успішної аутентифікації.

Автентифікація: перевірка, хто такий користувач.

Щоб здійснити автентифікацію, користувач надає таку інформацію, як імені користувача та пароль, і якщо облікові дані є дійсними, користувач отримує маркер, який може бути надісланий разом із майбутніми запитами як перевірка автентифікації.

Авторизація: визначення того, що користувачеві дозволено робити.

З точки зору користувача, успішна авторизація має місце, коли вона зможе надіслати запит на доступ до системи і щось зробити (наприклад, завантажити файл у систему), і це працює.

Перевірка автентичності лише підтверджує особу - вона підтверджує, що користувач є тим, ким вона претендує. Авторизація визначає, до яких ресурсів може отримати доступ перевірений користувач.

Аутентифікація

Аутентифікація підтверджує, хто ви є. Наприклад, ви можете увійти на свій сервер за допомогою ssh-клієнта або отримати доступ до свого сервера електронної пошти за допомогою клієнта POP3 та SMTP.

Авторизація

Авторизація підтверджує, що ви можете робити. Наприклад, вам дозволяється входити на свій сервер через ssh-клієнт, але ви не маєте права переглядати / data2 або будь-яку іншу файлову систему. Авторизація відбувається після успішної аутентифікації.

Авторизація - це процес, за допомогою якого сервер визначає, чи має клієнт дозвіл на використання ресурсів або файл доступу.

Аутентифікація використовується сервером, коли серверу необхідно точно знати, хто отримує доступ до їх інформації або сайту.

Простий приклад у режимі реального часу, якщо учень приходить до школи, то директор перевіряє автентифікацію та авторизацію. Перевірка автентичності: Перевірте посвідчення учня, це означає, що він належить до нашої школи чи ні. Авторизація: Перевірте, чи має дозвіл студент сидіти в лабораторії комп'ютерного програмування чи ні.

Я спробував створити образ, щоб пояснити це найпростішими словами

1) Автентифікація означає "Ти такий, кого ти кажеш, що є?"

2) Авторизація означає «Чи маєте ви мати можливість робити те, що ви намагаєтесь зробити?».

Це також описано на зображенні нижче.

Аутентифікація :

Це процес перевірки, чи ідентичність є істинною чи помилковою. Іншими словами, перевірка того, що користувач справді такий, яким він чи вона претендує на себе.

Типи аутентифікації:

1. Ім'я користувача + тип пароля
2. Аутентифікація за допомогою соціальних акаунтів
3. Аутентифікація без пароля
4. Багатофакторна аутентифікація
5. Аутентифікація на основі відбитків пальців або сітківки тощо

OpenID - це відкритий стандарт для аутентифікації.

Авторизація

Методика, яка визначає, які ресурси доступні користувачеві із заданою особою чи роллю.

OAuth - це відкритий стандарт для авторизації.

Автентифікація : програма повинна знати, хто має доступ до програми. Тож автентифікація пов'язана зі словом хто. Додаток перевірить це за допомогою форми для входу. Користувач вводить ім'я користувача та пароль, і ці дані будуть підтверджені програмою. Після успішної перевірки користувач оголошується як автентифікований.

Авторизація полягає в тому, щоб перевірити, чи може користувач отримати доступ до програми чи ні, або який користувач може отримати доступ, а який користувач не може отримати доступ. Джерело: Authentication Vs Authorization

Порівняно з рештою відповідей, які намагаються чітко вказати визначення чи технологію. Я подаю приклад, може бути більш цінним.

Ось стаття, яка робить чудову аналогію з паспортом порівняно із замком та ключем

Говорячи про автентифікацію (також її називають AuthN), подумайте про особистість. Автентифікація намагається відповісти: "це людина, яку вони кажуть, що вона є?" Це програмний еквівалент паспорта або чека національного посвідчення особи. Або кажучи більш реалістично, автентифікація - це подібний процес до того моменту, коли ви дивитесь на обличчя іншої людини, щоб визнати, що це ваш друг із коледжу, а не ваш дратівливий сусід на другому поверсі.

З іншого боку, авторизація (також її називають AuthZ) стосується дозволів. Авторизація відповідає на запитання "що це людині дозволено робити у цьому просторі?" Ви можете вважати це ключем від вашого будинку або значком офісу. Чи можете ви відкрити вхідні двері? Чи може ваш дратівливий сусід зайти за вашою квартирою? І ще, потрапивши у вашу квартиру, хто може користуватися туалетом? Хто може їсти з вашої таємної скрипки печива, зібраної у вашій кухонній шафі?