認證 -authentication- 和授權 -authorization- 的區別
以前一直傻傻分不清各種網際應用中 authentication 和 authorization, 其實很簡單:
這兩個術語通常在安全性方面相互結合使用,尤其是在獲得對系統的訪問權限時。兩者都是非常重要的主題,通常與網絡相關聯,作爲其服務基礎架構的關鍵部分。然而,這兩個術語在完全不同的概念上是非常不同的。雖然它們通常使用相同的工具在相同的上下文中使用,但它們彼此完全不同。
身份驗證意味着確認您自己的身份,而授權意味着授予對系統的訪問權限。簡單來說,身份驗證是驗證您的身份的過程,而授權是驗證您有權訪問的過程。
認證
身份驗證是關於驗證您的憑據,如用戶名 / 用戶 ID 和密碼,以驗證您的身份。系統確定您是否就是您所說的使用憑據。在公共和專用網絡中,系統通過登錄密碼驗證用戶身份。身份驗證通常通過用戶名和密碼完成,有時與身份驗證因素結合使用,後者指的是各種身份驗證方式。
身份驗證因素決定了系統在授予訪問文件和請求銀行交易之外的任何內容之前驗證某人身份的各種要素。用戶的身份可以通過他所知道的,他擁有的或者他是什麼來確定。在安全性方面,必須至少驗證兩個或所有三個身份驗證因素,以便授予某人訪問系統的權限。
根據安全級別,身份驗證因素可能與以下之一不同:
- 單因素 身份驗證 - 這是最簡單的身份驗證方法,通常依賴於簡單的密碼來授予用戶對特定系統(如網站或網絡)的訪問權限。此人可以僅使用其中一個憑據請求訪問系統以驗證其身份。單因素身份驗證的最常見示例是登錄憑據,其僅需要針對用戶名的密碼。
- 雙因素身份驗證 - 顧名思義,它是一個兩步驗證過程,不僅需要用戶名和密碼,還需要用戶知道的東西,以確保更高級別的安全性,例如 ATM 引腳,用戶知道。使用用戶名和密碼以及額外的機密信息,欺詐者幾乎不可能竊取有價值的數據。
- 多重身份驗證 - 這是最先進的身份驗證方法,它使用來自獨立身份驗證類別的兩個或更多級別的安全性來授予用戶對系統的訪問權限。所有因素應相互獨立,以消除系統中的任何漏洞。金融機構,銀行和執法機構使用多因素身份驗證來保護其數據和應用程序免受潛在威脅。
例如,當您將 ATM 卡輸入 ATM 機時,機器會要求您輸入您的 PIN。在您正確輸入引腳後,銀行會確認您的身份證明該卡真正屬於您,並且您是該卡的合法所有者。通過驗證您的 ATM 卡引腳,銀行實際上會驗證您的身份,這稱爲身份驗證。它只是確定你是誰,沒有別的。
授權
另一方面,授權發生在系統成功驗證您的身份後,最終會授予您訪問資源(如信息,文件,數據庫,資金,位置,幾乎任何內容)的完全權限。簡單來說,授權決定了您訪問系統的能力以及達到的程度。驗證成功後,系統驗證您的身份後,即可授權您訪問系統資源。
授權是確定經過身份驗證的用戶是否可以訪問特定資源的過程。它驗證您是否有權授予您訪問信息,數據庫,文件等資源的權限。授權通常在驗證後確認您的權限。簡單來說,就像給予某人官方許可做某事或任何事情。
例如,驗證和確認組織中的員工 ID 和密碼的過程稱爲身份驗證,但確定哪個員工可以訪問哪個樓層稱爲授權。假設您正在旅行而且即將登機。當您在登記前出示機票和一些身份證明時,您會收到一張登機牌,證明機場管理局已對您的身份進行了身份驗證。但那不是它。乘務員必須授權您登上您應該乘坐的航班,讓您可以進入飛機內部及其資源。
對系統的訪問受身份驗證和授權的保護。可以通過輸入有效憑證來驗證訪問系統的任何嘗試,但只有在成功授權後才能接受。如果嘗試已通過身份驗證但未獲得授權,系統將拒絕訪問系統。
摘要
雖然這兩個術語經常相互結合使用,但它們的概念和含義完全不同。雖然這兩個概念對於 Web 服務基礎結構至關重要,特別是在授予對系統的訪問權限時,理解關於安全性的每個術語是關鍵。雖然我們大多數人將一個術語與另一個術語混淆,但理解它們之間的關鍵區別很重要,實際上非常簡單。如果身份驗證是您的身份,則授權是您可以訪問和修改的權限。簡單來說,身份驗證就是確定某人是否是他聲稱的人。另一方面,授權是確定他訪問資源的權利。
舉個例子來說:
你要登機,你需要出示你的身份證和機票,身份證是爲了證明你張三確實是你張三,這就是 authentication;而機票是爲了證明你張三確實買了票可以上飛機,這就是 authorization。
在網站認證領域再舉個例子:
你要登陸論壇,輸入用戶名張三,密碼 1234,密碼正確,證明你張三確實是張三,這就是 authentication;再一 check 用戶張三是個版主,所以有權限加精刪別人帖,這就是 authorization。
本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源:https://www.cnblogs.com/xosg/p/10257792.html