kutombawewe.net

Autenticazione rispetto all'autorizzazione

Qual è la differenza nel contesto delle applicazioni web? Vedo molto spesso l'abbreviazione "auth". È valido per auth - entication o auth - orizzazione? O è entrambi?

555
daGrevis

Autenticazione è il processo per accertare che qualcuno sia davvero chi pretende di essere.

Autorizzazione si riferisce a regole che determinano chi è autorizzato a fare cosa. Per esempio. Adam potrebbe essere autorizzato a creare ed eliminare database, mentre Usama è autorizzato solo a leggere.

I due concetti sono completamente ortogonali e indipendenti, ma entrambi sono fondamentali per la progettazione della sicurezza e l'incapacità di ottenerne uno corretto apre la strada verso un compromesso.

In termini di app Web, l'autenticazione è molto rozza quando si controllano le credenziali di accesso per vedere se si riconosce un utente come effettuato l'accesso e l'autorizzazione è quando si controlla nel controllo di accesso se si consente all'utente di visualizzare, modificare, eliminare o creare contenuti.

778
Kerrek SB

In breve, per favore. :-)

Autenticazione = login + password (chi sei)

Autorizzazione = permessi (cosa ti è permesso fare)

Il termine "auth" breve si riferisce molto probabilmente al primo o ad entrambi.

618
Geo

Come Autenticazione vs Autorizzazione lo mette:

L'autenticazione è il meccanismo tramite il quale i sistemi possono identificare in modo sicuro i propri utenti. I sistemi di autenticazione forniscono una risposta alle domande:

  • Chi è l'utente?
  • L'utente è davvero chi rappresenta se stesso?

L'autorizzazione , al contrario, è il meccanismo mediante il quale un sistema determina quale livello di accesso deve avere un particolare utente autenticato alle risorse protette controllate dal sistema. Ad esempio, un sistema di gestione del database potrebbe essere progettato in modo da fornire a determinati individui specificati la possibilità di recuperare le informazioni da un database ma non la possibilità di modificare i dati memorizzati nella base dati, dando agli altri la possibilità di modificare i dati. I sistemi di autorizzazione forniscono risposte alle domande:

  • L'utente X è autorizzato ad accedere alla risorsa R?
  • L'utente X è autorizzato a eseguire l'operazione P?
  • L'utente X è autorizzato a eseguire l'operazione P sulla risorsa R?

Guarda anche:

Preferisco Verifica e Permessi a Autenticazione e Autorizzazione.

È più facile nella mia testa e nel mio codice pensare a "verifica" e "autorizzazioni" perché le due parole

  • non suonare allo stesso modo
  • non hanno la stessa abbreviazione

L'autenticazione è verifica e l'autorizzazione sta controllando il/i permesso/i. Auth può significare entrambi, ma viene utilizzato più spesso come "Autenticazione utente", ad esempio "Autenticazione utente"

30
Aditya Mittal

La confusione è comprensibile, dal momento che le due parole suonano simili, e poiché i concetti sono spesso strettamente correlati e usati insieme. Inoltre, come accennato, l'abbreviazione Auth non aiuta.

Altri hanno già descritto bene cosa significano autenticazione e autorizzazione. Ecco una semplice regola per aiutare a mantenere i due chiaramente distanti:

  • Auth enti cazione convalida il tuo ID enti ty (o autenticità , se preferisci questo)
  • Autore ization convalida il tuo autore ity, cioè il tuo diritto di accesso e possibilmente cambia qualcosa.
10
Kjartan

Ho cercato di creare un'immagine per spiegare questo nelle parole più semplici

1) Autenticazione significa "Sei tu chi dici di essere?"

2) Autorizzazione significa "Dovresti essere in grado di fare ciò che stai cercando di fare?".

Questo è anche descritto nell'immagine qui sotto.

enter image description here

Ho cercato di spiegarlo nei migliori termini possibili e ho creato un'immagine della stessa.

9
Rohit Ailani

Autenticazione è il processo di verifica dell'identità proclamata.

  • es. username/password

Solitamente seguito da autorizzazione , che è l'approvazione che puoi fare questo e quello.

  • es. permessi
3
Jakub Truhlář

Aggiunta alla risposta di @ Kerrek;

L'autenticazione è un modulo generalizzato (tutti i dipendenti possono accedere alla macchina)

L'autorizzazione è un modulo specializzato (ma l'amministratore può solo installare/disinstallare l'applicazione in Machine)

2
Boobalan

L'autenticazione è il processo di verifica del nome utente e della password di accesso.

L'autorizzazione è il processo di verifica dell'accesso a qualcosa.

2
Sovichea Cheth