L'authentification rapport à Autorisation

Quelle est la différence dans le contexte des applications web? Je vois l'abréviation "auth" beaucoup de choses. A-t-elle pour auth-entication ou auth-orization? Ou est-ce les deux?

  • rappelez-vous ceci: l'authentification vérifie les informations d'identification, contrôles des autorisations autorisations.
  • Cross-site en double: serverfault.com/q/57077
  • Récemment, les abréviations que j'ai vu authn pour l'authentification et authz pour l'autorisation
InformationsquelleAutor daGrevis | 2011-07-02
  1. 789

    Authentification est le processus de savoir que quelqu'un est vraiment celui qu'il prétend être.

    Autorisation se réfère à des règles qui permettent de déterminer qui est autorisé à faire quoi. E. g. Adam peut être autorisé à créer et supprimer des bases de données,
    alors que Oussama n'est autorisé à lire.

    Les deux concepts sont complètement orthogonale et indépendant, mais les deux sont au cœur de la conception de la sécurité, et l'échec à obtenir soit une bonne ouvre la voie à des compromis.

    En termes de web apps, très grossièrement parlant, l'authentification est lorsque vous vérifiez les références de connexion pour voir si vous reconnaissez un utilisateur connecté, et l'autorisation est lorsque vous regardez dans votre contrôle d'accès si vous permettre à l'utilisateur d'afficher, de modifier, de supprimer ou de créer du contenu.

    • Les définitions semblent bien, mais ils ne semblent pas être indépendant. Tel que défini, n'a pas de l'autorisation aussi impliquent authentification? Comment pouvez-vous vous permettre Adam base de données de l'opération de suppression si vous doutez qu'il est Adam? Autrement dit, si Adam l'opération de suppression est autorisée, la plupart espérons que cela implique qu'Adam est authentifié.
    • Une demande sera sans doute envie de faire les deux, mais ils sont orthogonaux concepts indépendamment. Votre patron pourrait être l'examen le personnel des autorisations pour accéder aux composants critiques de l'entreprise, la société jet et le frigo à bière sans aucune préoccupation pour qui personne en particulier sur le circuit fermé d'alimentation correspond au nom de la feuille de calcul. Ce dernier serait le gardien de sécurité de l'inquiétude.
    • Les concepts sont certainement orthogonale. L'authentification n'est pas nécessairement une preuve de votre identité. Il pourrait être la preuve d'une allégation au sujet de vous-même de l'âge par exemple. Quand vous buvez, vous authentifier votre âge en montrant une pièce d'identité. Alors, vous pouvez être autorisé à boire en fonction de votre âge et de la compétence que vous êtes (vous pouvez boire >21 aux états-unis >18 en Europe)
    • Mais comment pouvez-vous faire des comparaisons sur l'âge, sauf si vous savez qui est, en fait, de son âge? En d'autres termes, à quoi bon autorisation sans authentification? Comment avez-vous vérifié son âge potable sans d'abord lui demandant de s'authentifier lui-même?
    • Je pense que le point est que ceux qui sont orthogonaux préoccupations, bien que, et elles peuvent être traitées par des installations séparées: par exemple, l' (de confiance) videur à la porte, on peut établir le client de l'âge, et les différents services à l'intérieur de l'établissement peut avoir différentes limites d'âge, mais tous utilisent la valeur qu'ils ont obtenu de le videur de rendre les décisions d'admission.
    • Ah, bon point.
    • Une autre façon de voir les choses (dans le contexte de la salle de restauration proprement dite exemple) serait de considérer que l'authentification est le processus de mise en correspondance de la photo sur la carte d'identité de la personne debout en face de vous alors que l'autorisation est le processus de validation de leur âge répond aux exigences légales. À mon avis, l'élément dans ce mélange qui provoque les lignes floues, c'est que les deux tests doivent également être à la fois conscient et durci contre la contrefaçon (c'est l'ID d'un faux) que la plupart des gens ont tendance à considérer comme un sujet de préoccupation pour l'authentification, plutôt que d'égale importance pour les deux auth-c et auth-z de certification.

    InformationsquelleAutor Kerrek SB
  2. 626

    En bref, s'il vous plaît. 🙂

    Authentification = login + mot de passe (qui vous êtes)

    Autorisation = autorisations (ce que vous êtes autorisé à le faire)

    Court "auth" est le plus susceptible de se référer soit à la première ou aux deux à la fois.

    • Doux comme un morceau de Gâteau 🙂
    • J'aime bien, court et doux.
    • Ensuite, je ne comprends toujours pas pourquoi un HTTP en-tête d'Autorisation transporte les informations d'authentification... N'est-ce pas malheureux de nommage?
    InformationsquelleAutor Geo
  3. 77

    Comme L'authentification vs Autorisation il met:

    Authentification est le mécanisme
    lequel des systèmes peut identifier en toute sécurité
    leurs utilisateurs. Les systèmes d'authentification
    fournir une réponse aux questions suivantes:

    • Qui est l'utilisateur?
    • Est l'utilisateur qui il/elle représente lui-même?

    Autorisation, par contraste, est la
    mécanisme par lequel un système détermine
    quel est le niveau d'accès d'un particulier
    utilisateur authentifié ne devrait avoir à
    sécurisé les ressources contrôlées par l'
    système. Par exemple, une base de données
    le système de gestion peut être conçu de telle sorte
    de fournir un certain nombre de
    les personnes avec la possibilité de
    récupérer des informations à partir d'une base de données
    mais pas la capacité de modifier des données
    stockées dans la datbase, tout en donnant
    autres personnes la possibilité de
    modifier des données. Systèmes d'autorisation
    fournir des réponses aux questions:

    • Est l'utilisateur X a autorisé à accéder à
      la ressource R?
    • Est autorisé à l'utilisateur X
      effectuer l'opération P?
    • Est l'utilisateur X
      autorisé à effectuer l'opération P sur
      la ressource R?

    Voir aussi:

    • Pas de. Ils sont deux choses distinctes. L'authentification permet de s'assurer que l'utilisateur est en fait qui ils disent qu'ils sont, tandis que l'authentification garantit que l'utilisateur a accès. Si vous ne l'autorisation, sans authentification, n'importe qui peut simplement dire qu'ils êtes un administrateur, et ils s'en administrateur pouvoirs, sans poser de questions.
    InformationsquelleAutor Sebastian Paaske Tørholm
  4. 31

    Je préfère Vérification et Autorisations pour l'Authentification et l'Autorisation.

    C'est plus facile dans ma tête et dans mon code de penser à une "vérification" et "autorisations" parce que les deux mots

    • n'est pas le même son de cloche
    • n'ont pas la même abréviation

    L'authentification de vérification et d'Autorisation est la vérification d'autorisation(s). Auth peut signifier soit, mais est plus souvent utilisé en tant que "Utilisateur Auth" c'est à dire "Authentification d'Utilisateur"

    • À mon humble avis de vérification semble avoir un peu plus d'ouvrir le champ d'application de l'authentification, même si l'authentification semble être une sorte de vérification, ne sont pas tous de vérification de l'authentification... donc je dirais un contexte est toujours nécessaire: accès de l'utilisateur vérification, etc., l'authentification semble toujours se produire dans le domaine de l' "est-il vraiment le gars/la machine?" (frappez-moi si je me trompe, pas un locuteur natif, mais: "vérifier" les RENSEIGNEMENTS fournis sont exacts vs authentifications semble avoir quelque chose à voir avec la connaissance de la personne/de la machine est la personne qu'il prétend être)
    InformationsquelleAutor Aditya Mittal
  5. 11

    La confusion est compréhensible, puisque les deux mots de son semblable, et puisque les concepts sont souvent étroitement liées et sont utilisés ensemble. Aussi, comme mentionné, l'abréviation Auth ne l'aide pas.

    D'autres ont déjà décrit bien ce que l'authentification et l'autorisation veux dire. Voici une règle simple pour aider à garder les deux clairement séparés:

    • Authentication valide votre Identity (ou authenticité, si vous préférez)
    • Auteurisation valide votre auteurité, c'est à dire votre droit d'accès et de peut-être changer quelque chose.
    InformationsquelleAutor Kjartan
  6. 10

    J'ai essayé de créer une image pour expliquer ce dans le plus simple des mots

    1) Authentification signifie "vous Êtes qui vous dites que vous êtes?"

    2) l'Autorisation signifie "Devriez-vous être en mesure de faire ce que vous essayez de faire?".

    Ceci est également décrit dans l'image ci-dessous.

    L'authentification rapport à Autorisation

    J'ai essayé de l'expliquer dans les meilleures conditions possibles, et créé une image de la même chose.

    InformationsquelleAutor Rohit Ailani
  7. 3

    Authentification est le processus de vérification de l'identité proclamée.

    • par exemple, nom d'utilisateur/mot de passe

    Généralement suivie par autorisation, qui est l'approbation que vous pouvez faire ceci et cela.

    • par exemple, les autorisations
    InformationsquelleAutor Jakub Truhlář
  8. 2

    L'ajout de @Kerrek réponse;

    L'authentification est la forme Généralisée (Tous les employés peuvent se connecter à la machine )

    Autorisation est Spécialisé de forme (Mais l'admin ne peut installer/désinstaller l'application dans la Machine)

    • Le mot "peut" s'applique uniquement à Autorisation. L'authentification a peu ou rien à voir avec la connexion. Je pourrais très bien attester que vous êtes Boobalan à de nombreux égards (et Pas seulement de nom d'utilisateur/mot de passe). Une fois que j'ai authentifier et de savoir qui vous êtes, je pourrais très bien vous Autorise PAS à vous connecter, ou de faire quelque chose sur mon site. Vous êtes Authentifié, mais vous ne pouvez pas faire diddley-squat. C'est déroutant et incorrect d'utiliser le mot "peut" lorsque l'on parle d'Authentification.
    InformationsquelleAutor Boobalan
  9. 2

    L'authentification est le processus de vérification de votre identifiant et mot de passe.

    Autorisation est le processus qui permet de vérifier que vous pouvez accéder à quelque chose.

    • Cette "réponse" n'ajoute rien aux réponses déjà données.
    InformationsquelleAutor Sovichea Cheth
  10. 0

    Authentication moyens de confirmation de votre propre identité. L'authentification est sur la validation de vos informations d'identification, telles que nom d'utilisateur/ID d'Utilisateur et le mot de passe pour vérifier votre identité. Le système vérifie alors si vous êtes ce que vous dites que vous êtes à l'aide de vos informations d'identification. Que ce soit en public ou de réseaux privés, le système permet d'authentifier l'identité de l'utilisateur par le biais de mots de passe de connexion. Habituellement, l'authentification se fait par un nom d'utilisateur et le mot de passe, mais il existe d'autres moyens divers pour être authentifié.

    Authorization signifie être autorisés à accéder au système. l'autorisation est le processus pour déterminer si l'utilisateur authentifié ont accès à des ressources particulières.

    L'authentification rapport à Autorisation

    Lire plus ici

    InformationsquelleAutor yoAlex5