Яка різниця в контексті веб-додатків? Я бачу абревіатуру "auth" багато. Чи означає це аутентифікація або аутентифікація ? Або це обоє?
authn
для автентифікації та authz
для авторизації
Яка різниця в контексті веб-додатків? Я бачу абревіатуру "auth" багато. Чи означає це аутентифікація або аутентифікація ? Або це обоє?
authn
для автентифікації та authz
для авторизації
Відповіді:
Автентифікація - це процес з’ясування того, що хтось насправді є тим, ким вони претендують.
Авторизація стосується правил, які визначають, кому дозволено щось робити. Наприклад, Адаму може бути дозволено створювати та видаляти бази даних, тоді як Usama має право лише читати.
Обидві концепції є повністю ортогональними та незалежними, але обидві мають центральне значення в дизайні безпеки, а неможливість отримати жодне правильне відкриває шлях до компромісу.
Що стосується веб-додатків, дуже грубо кажучи, автентифікація - це коли ви перевіряєте облікові дані для входу, щоб побачити, чи визнаєте ви користувача, який увійшов, а авторизація - це коли ви шукаєте в контролі доступу, чи дозволяєте ви користувачеві переглядати, редагувати, видаляти або створити вміст.
Словом, будь ласка. :-)
Автентифікація = логін + пароль (хто ти такий)
Авторизація = дозволи (те, що вам дозволяється робити)
Короткий "аут", швидше за все, стосується або першого, або обох.
Що стосується аутентифікації та авторизації :
Автентифікація - це механізм, за допомогою якого системи можуть безпечно ідентифікувати своїх користувачів. Системи аутентифікації дають відповіді на запитання:
- Хто користувач?
- Чи дійсно користувач тим, ким він / вона представляє себе?
Авторизація , навпаки, - це механізм, за допомогою якого система визначає, який рівень доступу конкретного аутентифікованого користувача повинен мати захищені ресурси, контрольовані системою. Наприклад, система управління базами даних може бути спроектована таким чином, щоб надати певним визначеним особам можливість отримувати інформацію з бази даних, але не можливість змінювати дані, що зберігаються в даті бази даних, надаючи іншим особам можливість змінювати дані. Системи авторизації надають відповіді на запитання:
- Чи має право користувач X отримати доступ до ресурсу R?
- Чи має право користувач X виконувати операцію P?
- Чи має право користувач X виконувати операцію P на ресурсі R?
Я віддаю перевагу перевірки та дозволів до аутентифікації та авторизації.
У моїй голові та в коді простіше думати про "перевірку" та "дозволи", бо це два слова
Автентифікація - це перевірка, а Авторизація перевіряє дозвіл (и). Auth може означати будь-яке, але використовується частіше як "Auth Autor", тобто "Автентифікація користувача"
Плутанина зрозуміла, оскільки два слова звучать схоже, а оскільки поняття часто тісно пов'язані та використовуються разом. Також, як згадувалося, поширена абревіатура Auth не допомагає.
Інші вже добре описали, що означає автентифікація та авторизація. Ось просте правило, яке допомагає чітко розставити обоє:
- Auth енти катионом Підтверджує ваш Id енти ти (або справжність , якщо ви віддаєте перевагу)
- Авторське підтвердження підтверджує ваш авторський ідентифікатор, тобто ваше право доступу та, можливо, щось змінити.
Я спробував створити образ, щоб пояснити це найпростішими словами
1) Автентифікація означає "Ти такий, кого ти кажеш, що є?"
2) Авторизація означає "Чи маєте ви мати можливість робити те, що ви намагаєтесь зробити?".
Це також описано на зображенні нижче.
Я намагався пояснити це найкращим чином, і створив образ того самого.
Автентифікація - це процес перевірки заявленої особи.
Зазвичай слідує авторизація , яка є схваленням того, що ви можете робити це і те.
Додавання до відповіді @ Керрека;
Аутентифікація - це узагальнена форма (усі працівники можуть увійти до машини)
Авторизація - це спеціалізована форма (але адміністратор може встановлювати / видаляти програму лише на машині)
Аутентифікація - це процес підтвердження Вашого логіна імені користувача та пароля.
Авторизація - це процес підтвердження того, що ви можете отримати доступ до чогось.
Аутентифікація - Ви є особою, якою Ви претендуєте?
Авторизація - Ви маєте право робити все, що ви намагаєтесь зробити?
Веб-додаток використовує вхід у Google . Після успішного входу користувача Google надсилає назад:
Додатково:
У компанії може бути адміністративна панель управління, яка дозволяє підтримці клієнтів керувати користувачами компанії. Замість надання спеціального рішення для реєстрації, яке дозволило б підтримці клієнтів отримати доступ до цієї інформаційної панелі, компанія використовує вхід у Google.
Маркер JWT (отриманий від процесу входу в Google) надсилається на сервер авторизації компанії, щоб з'ясувати, чи є у користувача обліковий запис G Suite з розміщеним доменом організації (email@company.com)? А якщо це так, чи є вони членом групи компаній Google, створеної для підтримки клієнтів? Якщо так усього згаданого, ми можемо вважати їх автентичними .
Потім сервер авторизації компанії надсилає додаток інформаційної панелі маркер доступу. Цей маркер доступу може використовуватися для надсилання авторизованих запитів на сервер ресурсів компанії (наприклад, можливість подати GET-запит до кінцевої точки, що надсилає назад всіх користувачів компанії).
Authentication
це процес перевірки:
digital signature
Authorization
це наступний крок після Authentication
. Йдеться про дозволи / ролі / привілеї до ресурсів. OAuth (Open Authorization) - приклад авторизації