碼上快樂

相關內容    簡體    繁體

認證 (authentication) 和授權 (authorization) 的區別

本文轉載自   查看原文   2018-09-14 15:07   4495    黑客與信息安全

 

以前一直傻傻分不清各種網際應用中 authentication 和 authorization, 其實很簡單:

 

這兩個術語通常在安全性方面相互結合使用,尤其是在獲得對系統的訪問權限時。兩者都是非常重要的主題,通常與網絡相關聯,作為其服務基礎架構的關鍵部分。然而,這兩個術語在完全不同的概念上是非常不同的。雖然它們通常使用相同的工具在相同的上下文中使用,但它們彼此完全不同。

身份驗證意味着確認您自己的身份,而授權意味着授予對系統的訪問權限。簡單來說,身份驗證是驗證您的身份的過程,而授權是驗證您有權訪問的過程。

認證

身份驗證是關於驗證您的憑據,如用戶名/用戶ID和密碼,以驗證您的身份。系統確定您是否就是您所說的使用憑據。在公共和專用網絡中,系統通過登錄密碼驗證用戶身份。身份驗證通常通過用戶名和密碼完成,有時與身份驗證因素結合使用,后者指的是各種身份驗證方式。

身份驗證因素決定了系統在授予訪問文件和請求銀行交易之外的任何內容之前驗證某人身份的各種要素。用戶的身份可以通過他所知道的,他擁有的或者他是什么來確定。在安全性方面,必須至少驗證兩個或所有三個身份驗證因素,以便授予某人訪問系統的權限。

根據安全級別,身份驗證因素可能與以下之一不同:

  • 單因素 身份驗證 - 這是最簡單的身份驗證方法,通常依賴於簡單的密碼來授予用戶對特定系統(如網站或網絡)的訪問權限。此人可以僅使用其中一個憑據請求訪問系統以驗證其身份。單因素身份驗證的最常見示例是登錄憑據,其僅需要針對用戶名的密碼。
  • 雙因素身份驗證 - 顧名思義,它是一個兩步驗證過程,不僅需要用戶名和密碼,還需要用戶知道的東西,以確保更高級別的安全性,例如ATM引腳,用戶知道。使用用戶名和密碼以及額外的機密信息,欺詐者幾乎不可能竊取有價值的數據。
  • 多重身份驗證 - 這是最先進的身份驗證方法,它使用來自獨立身份驗證類別的兩個或更多級別的安全性來授予用戶對系統的訪問權限。所有因素應相互獨立,以消除系統中的任何漏洞。金融機構,銀行和執法機構使用多因素身份驗證來保護其數據和應用程序免受潛在威脅。

例如,當您將ATM卡輸入ATM機時,機器會要求您輸入您的PIN。在您正確輸入引腳后,銀行會確認您的身份證明該卡真正屬於您,並且您是該卡的合法所有者。通過驗證您的ATM卡引腳,銀行實際上會驗證您的身份,這稱為身份驗證。它只是確定你是誰,沒有別的。

授權

另一方面,授權發生在系統成功驗證您的身份后,最終會授予您訪問資源(如信息,文件,數據庫,資金,位置,幾乎任何內容)的完全權限。簡單來說,授權決定了您訪問系統的能力以及達到的程度。驗證成功后,系統驗證您的身份后,即可授權您訪問系統資源。

授權是確定經過身份驗證的用戶是否可以訪問特定資源的過程。它驗證您是否有權授予您訪問信息,數據庫,文件等資源的權限。授權通常在驗證后確認您的權限。簡單來說,就像給予某人官方許可做某事或任何事情。

例如,驗證和確認組織中的員工ID和密碼的過程稱為身份驗證,但確定哪個員工可以訪問哪個樓層稱為授權。假設您正在旅行而且即將登機。當您在登記前出示機票和一些身份證明時,您會收到一張登機牌,證明機場管理局已對您的身份進行了身份驗證。但那不是它。乘務員必須授權您登上您應該乘坐的航班,讓您可以進入飛機內部及其資源。

對系統的訪問受身份驗證和授權的保護。可以通過輸入有效憑證來驗證訪問系統的任何嘗試,但只有在成功授權后才能接受。如果嘗試已通過身份驗證但未獲得授權,系統將拒絕訪問系統。

認證 授權
身份驗證確認您的身份以授予對系統的訪問權限。 授權確定您是否有權訪問資源。
這是驗證用戶憑據以獲得用戶訪問權限的過程。 這是驗證是否允許訪問的過程。
它決定用戶是否是他聲稱的用戶。 它確定用戶可以訪問和不訪問的內容。
身份驗證通常需要用戶名和密碼。 授權所需的身份驗證因素可能有所不同,具體取決於安全級別。
身份驗證是授權的第一步,因此始終是第一步。 授權在成功驗證后完成。
例如,特定大學的學生在訪問大學官方網站的學生鏈接之前需要進行身份驗證。這稱為身份驗證。 例如,授權確定成功驗證后學生有權在大學網站上訪問哪些信息。

摘要

雖然這兩個術語經常相互結合使用,但它們的概念和含義完全不同。雖然這兩個概念對於Web服務基礎結構至關重要,特別是在授予對系統的訪問權限時,理解關於安全性的每個術語是關鍵。雖然我們大多數人將一個術語與另一個術語混淆,但理解它們之間的關鍵區別很重要,實際上非常簡單。如果身份驗證是您的身份,則授權是您可以訪問和修改的權限。簡單來說,身份驗證就是確定某人是否是他聲稱的人。另一方面,授權是確定他訪問資源的權利。

 

舉個例子來說:



你要登機,你需要出示你的身份證和機票,身份證是為了證明你張三確實是你張三,這就是 authentication;而機票是為了證明你張三確實買了票可以上飛機,這就是 authorization。

在網站認證領域再舉個例子:

你要登陸論壇,輸入用戶名張三,密碼1234,密碼正確,證明你張三確實是張三,這就是 authentication;再一check用戶張三是個版主,所以有權限加精刪別人帖,這就是 authorization。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 認證 (authentication) 和授權 (authorization) 的區別 認證(Authentication)與授權(Authorization) 認證和授權(Authentication和Authorization) mongodb的認證(authentication)與授權(authorization) .net中的認證(authentication)與授權(authorization) Web APi之認證(Authentication)及授權(Authorization)【一】(十二) .net core 認證 Authentication 授權 Authorization 補充篇 (1) Spring Security 實現用戶認證(Authentication)和用戶授權(Authorization) 驗證(Authentication)和授權(Authorization)(一): .netcore 認證和權限(Authentication 和 Authorization)
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM