Аутентификация против авторизации

В чем разница в веб-приложениях? Короче, пожалуйста.

Я вижу аббревиатуру «auth» много. Означает ли это наличие аутентификации или авторизации? Или оба?

Аутентификация – это процесс подтверждения того, что кто-то действительно является тем, кем он себя утверждает.

Авторизация относится к правилам, определяющим, кому разрешено что-то делать. Например, Адам может иметь право создавать и удалять базы данных, в то время как Усама имеет право читать только.

Эти два понятия полностью ортогональны и независимы, но оба они имеют решающее значение для дизайна безопасности, и отказ от получения одного правильного решения открывает путь к компрометации.

С точки зрения веб-приложений, очень грубо говоря, аутентификация – это когда вы проверяете учетные данные для входа в систему, чтобы узнать, распознаете ли вы пользователя во время входа в систему, а авторизация – когда вы смотрите в своем контроле доступа, разрешаете ли вы просматривать, редактировать, удалять пользователя или создать контент.

Короче, пожалуйста. 🙂

Аутентификация = логин + пароль (кто вы)

Авторизация = разрешения (что вам разрешено делать)

Короткое «auth» скорее всего относится либо к первому, либо к обоим.

Поскольку Authentication vs Authorization ставит это:

Аутентификация – это механизм, посредством которого системы могут безопасно идентифицировать своих пользователей. Системы аутентификации предоставляют ответы на вопросы:

  • Кто является пользователем?
  • Действительно ли пользователь, кем он / она себя представляет?

Авторизация , напротив, является механизмом, с помощью которого система определяет, какой уровень доступа должен иметь конкретный аутентифицированный пользователь для обеспечения ресурсов, контролируемых системой. Например, система управления базами данных может быть спроектирована таким образом, чтобы предоставить определенным определенным лицам возможность извлекать информацию из базы данных, но не возможность изменять данные, хранящиеся в базе данных, в то же время предоставляя другим людям возможность изменять данные. Системы авторизации предоставляют ответы на вопросы:

  • Доступен ли пользователь X для доступа к ресурсу R?
  • Является ли пользователь X уполномоченным выполнять операцию P?
  • Является ли пользователь X уполномоченным выполнять операцию P на ресурсе R?

Смотрите также:

  • Аутентификация против авторизации в Википедии

Я предпочитаю проверку и разрешение на аутентификацию и авторизацию.

В моей голове и в моем коде легче продумать «проверку» и «разрешения», потому что два слова

  • не звучат одинаково
  • не имеют той же аббревиатуры

Аутентификация – это проверка и авторизация проверяет разрешения (ы). Auth может означать либо, но чаще используется как «User Auth», то есть «User Authentication»

Путаница понятна, поскольку эти два слова звучат одинаково, и поскольку эти понятия часто тесно связаны и используются вместе. Кроме того, как уже упоминалось, аббревиатура Auth не помогает.

Другие уже хорошо описали, что означает аутентификация и авторизация. Вот простое правило, чтобы помочь разделить две части:

  • Аутентификация подтверждает ваш идентификатор (или аутентичность , если вы предпочитаете это)
  • Авторизация подтверждает ваш авторитет, т. Е. Ваше право доступа и, возможно, что-то изменить.

Я попытался создать образ, чтобы объяснить это самыми простыми словами

1) Аутентификация означает «Вы, кто вы так говорите?»

2) Авторизация означает «Должны ли вы делать то, что вы пытаетесь сделать?».

Это также описано на изображении ниже.

введите описание изображения здесь

Я попытался объяснить это в наилучших условиях и создал образ того же самого.

Добавление к ответу Керрека;

Аутентификация является обобщенной формой (все сотрудники могут войти в систему)

Авторизация – специализированная форма (но администратор может устанавливать / удалять приложение только в Machine)

Аутентификация – это процесс проверки провозглашенной личности.

  • например, имя пользователя / пароль

Обычно следует авторизация , которая является одобрением того, что вы можете делать то и это.

  • например, разрешения

Аутентификация – это процесс проверки вашего логина в имени пользователя и пароле.

Авторизация – это процесс проверки того, что вы можете получить доступ к чему-либо.

  • Перенаправить на страницу с помощью endResponse в true VS CompleteRequest и stream безопасности
  • Управление группами пользователей и ролями в .NET с помощью Active Directory
  • Xcode 4 - ошибка «Недействительность подлинного подписи не найдена» при настройке профилей при установке нового Macintosh
  • Почему JPasswordField.getPassword () создает строку с паролем в ней?
  • Как защитить свое программное обеспечение от незаконного распространения?
  • Размер подписи RSA?
  • Безопасно ли хранить пароли в качестве переменных среды (а не как обычный текст) в файлах конфигурации?
  • Практические подходы CAPTCHA на основе изображений, не основанные на имидже?
  • Как защитить приложение от пиратства
  • Необходимость скрывать соль для хеша
  • пример переполнения буфера из книги Art of Exploitation
  • Interesting Posts

    Получение ошибки: не удалось найти class ‘android.app.AppOpsManager’, на который ссылается метод com.google.android.gms.common.GooglePlayServicesUtil.zza

    Как я могу проверить ход матричного умножения?

    Скрытые особенности C

    Как установить сетевое соединение как измеренное?

    Как подсчитывать страницы в нескольких файлах PDF?

    Обновление Windows 10: сеть полностью обжарена

    Android – создание Webview DomStorage настойчиво после закрытия приложения

    Какое допустимое магнитное поле (в Тесле) для жесткого диска?

    Как я могу сортировать карту STL по значению?

    jqGrid: проблема загрузки вложенной подсетей с локальным типом данных

    Иногда я вижу URL-адрес JSF: * .jsf, иногда * .xhtml, а иногда / faces / *. Зачем?

    Почему PySpark не может найти py4j.java_gateway?

    Создайте PDF в памяти вместо физического файла

    переменная условия – почему вызов pthread_cond_signal () перед вызовом pthread_cond_wait () является логической ошибкой?

    Как использовать программный доступ к памяти через JMX?

    Давайте будем гением компьютера.