Есть ли разница между аутентификацией и авторизацией?

97

Я вижу, что эти два термина довольно часто используются (особенно в веб-сценариях, но я полагаю, что это не ограничивается этим), и мне было интересно, есть ли разница.

Мне кажется, что оба они означают, что вам разрешено делать то, что вы делаете. Так это просто номенклатура или есть принципиальная разница в значениях?

Paxdiablo
источник
3
Да. Есть большая разница. Вики что говорит? С 148K, на самом деле в настоящее время ;-) Я могу Аутентифицировать , что вы являетесь враг Spy (или частный без зазора) без Выдавших вам получить доступ к сверхсекретным данным.
В этом разница между «подлинным» и «авторизованным»; бесполезно, что оба сокращают до "auth". Apache различает их с помощью «authn» и «authz».
тк.
Это очень просто объясняется здесь: serverfault.com/a/57082/227016
Kuldeep Jain
Отвечает ли это на ваш вопрос? Аутентификация против авторизации
Лойтен

Ответы:

141

Действительно, есть принципиальная разница. Аутентификация - это механизм, с помощью которого системы могут безопасно идентифицировать своих пользователей. Системы аутентификации стремятся дать ответы на вопросы:

  • Кто пользователь?
  • Действительно ли пользователь является тем, кем он себя называет / представляет?

Авторизация, напротив, - это механизм, с помощью которого система определяет, какой уровень доступа должен иметь конкретный (аутентифицированный) пользователь к ресурсам, контролируемым системой. В качестве примера, который может быть связан или не быть связан с веб-сценарием, система управления базой данных может быть спроектирована так, чтобы предоставить определенным конкретным лицам возможность извлекать информацию из базы данных, но не возможность изменять данные, хранящиеся в база данных, давая другим людям возможность изменять данные. Системы авторизации дают ответы на вопросы:

  • Имеет ли пользователь X право доступа к ресурсу R?
  • Имеет ли пользователь X право выполнять операцию P?
  • Имеет ли пользователь X право выполнять операцию P на ресурсе R?

Стив Райли написал неплохое эссе о том, почему они должны оставаться разными.

Майкл Фукаракис
источник
3
Аутентификация применяется и к другим вещам (например, MAC).
тк.
Написанное вами эссе великолепно, спасибо, что поделились им.
Абдель-Рауф
43

Аутентификация относится к проверке личности объекта. Авторизация касается того, что разрешено делать аутентифицированному объекту (например, права доступа к файлам).

jpm
источник
12

Главное:

  • Аутентификация связана с проверкой учетной записи пользователя. Это действующий пользователь? Этот пользователь зарегистрирован в нашем приложении ?. например: Войти
  • Авторизация связана с проверкой доступа пользователя к определенной функции. Есть ли у этого пользователя разрешение / право на доступ к этой функции? например: претензии, роли
Мох Юсуп
источник
5

Аутентификация:

Аутентификация - это процесс проверки личности пользователя путем получения каких-либо учетных данных и использования этих учетных данных для проверки личности пользователя. Если учетные данные действительны, запускается процесс авторизации. Процесс аутентификации всегда переходит в процесс авторизации.

Авторизация:

Авторизация - это процесс разрешения аутентифицированным пользователям доступа к ресурсам путем проверки наличия у пользователя прав доступа к системе. Авторизация помогает вам контролировать права доступа, предоставляя или запрещая определенные разрешения аутентифицированному пользователю.

Хумоюн Ахмад
источник
2

По моему опыту, аутентификация обычно относится к более техническому процессу, то есть аутентификации пользователя (путем проверки учетных данных для входа / пароля, сертификатов и т.д.), тогда как авторизация больше используется в бизнес-логике приложения.

Например, в приложении пользователь может войти в систему и пройти аутентификацию, но не авторизован для выполнения определенных функций.

нагиб
источник
1

Аутентификация пользователя на веб-сайте означает, что вы подтверждаете, что этот пользователь является действительным пользователем, то есть проверяете, кто этот пользователь использует имя пользователя / пароль или сертификаты и т. Д. В общих чертах, разрешено ли человеку входить в здание?

Авторизация - это процесс проверки, есть ли у пользователя права / разрешение на доступ к определенным ресурсам или разделам веб-сайта, например, если это CMS, то это пользователь, уполномоченный изменять содержимое веб-сайта. С точки зрения сценария офисного здания, пользователю разрешено входить в сетевую комнату офиса.

Азиз Шейх
источник
1

Если я могу войти в систему, мои учетные данные будут проверены, и я АУТЕНТИЧНО. Если я могу выполнить конкретную задачу, я УПОЛНОМОЧЕННО на это.

Пунит Панди
источник
1

Аутентификация проверяет, кто вы, а авторизация проверяет, что вам разрешено делать. Например, вам разрешено входить на ваш Unix-сервер через ssh-клиент, но вы не авторизованы для браузера / data2 или любой другой файловой системы. Авторизация происходит после успешной аутентификации ........

BMW
источник
0

Аутентификация проверяет, кто вы, а авторизация проверяет, что вам разрешено делать. Например, вам разрешено войти на ваш Unix-сервер через ssh-клиент, но вы не авторизованы для браузера / data2 или любой другой файловой системы. Авторизация происходит после успешной аутентификации.

Винит Пайал
источник
0

Аутентификация: проверка личности пользователя.

Для аутентификации пользователь предоставляет учетную информацию, такую ​​как имя пользователя и пароль, и, если учетные данные действительны, пользователь получает токен, который может быть отправлен с будущими запросами в качестве подтверждения его аутентификации.

Авторизация: определение того, что пользователю разрешено делать.

С точки зрения пользователя, успешная авторизация происходит, когда он может отправить запрос на доступ к системе и что-то сделать (например, загрузить файл в систему), и это работает.

Аутентификация только подтверждает личность - она ​​подтверждает, что пользователь является тем, кем он себя называет. Авторизация определяет, к каким ресурсам может получить доступ проверенный пользователь.

Смрити
источник
0

Аутентификация

Аутентификация проверяет, кто вы. Например, вы можете войти на свой сервер с помощью клиента ssh или получить доступ к своему почтовому серверу с помощью клиентов POP3 и SMTP.

Авторизация

Авторизация проверяет, что вы имеете право делать. Например, вам разрешено войти на свой сервер через ssh-клиент, но вы не авторизованы для браузера / data2 или любой другой файловой системы. Авторизация происходит после успешной аутентификации.

Билали Хамиси
источник
0

Авторизация - это процесс, с помощью которого сервер определяет, есть ли у клиента разрешение на использование ресурсов или доступа к файлу.

Аутентификация используется сервером, когда серверу необходимо точно знать, кто обращается к их информации или сайту.

Шанкар Гимире
источник
0

Простой пример в реальном времени. Если ученик идет в школу, тогда директор проверяет аутентификацию и авторизацию. Аутентификация: проверьте студенческий билет, это означает, что он или она принадлежит к нашей школе или нет. Авторизация: проверьте, есть ли у учащегося разрешение работать в Лаборатории компьютерного программирования.

самбху
источник
0

Я попытался создать образ, чтобы объяснить это самыми простыми словами

1) Аутентификация означает: «Вы тот, кем себя называете?»

2) Авторизация означает «Уметь ли вы делать то, что пытаетесь сделать?».

Это также описано на изображении ниже.

введите описание изображения здесь

Рохит Айлани
источник
2
зачем вам добавлять изображение с тем же текстом, что и в вашем сообщении? :)
Millenjo 01
0

Аутентификация :

Это процесс проверки того, является ли личность истинной или ложной. Другими словами, проверка того, что пользователь действительно является тем, кем он или она себя называет.

Типы аутентификации:

  1. Имя пользователя + пароль тип аутентификации
  2. Аутентификация с использованием социальных аккаунтов
  3. Безпарольная аутентификация
  4. Многофакторная аутентификация
  5. Аутентификация по отпечатку пальца или сетчатке глаза и т. Д.

OpenID - это открытый стандарт аутентификации.

Авторизация

Метод, определяющий, какие ресурсы доступны пользователю с заданной идентичностью или ролью.

OAuth - это открытый стандарт авторизации.

Штеффи Керан Рани Дж.
источник
0

Аутентификация : приложению необходимо знать, кто обращается к нему. Итак, аутентификация связана со словом who. Приложение проверит это через форму входа. Пользователь будет вводить имя пользователя и пароль, и эти данные будут подтверждены приложением. После успешной проверки пользователь объявляется прошедшим проверку подлинности.

Авторизация - это проверка, может ли пользователь получить доступ к приложению или какой пользователь может получить доступ и какой пользователь не может получить доступ. Источник: аутентификация против авторизации

рахульнихаре
источник
0

По сравнению с остальными ответами, которые пытаются явно указать определение или технологию. Я представлю пример может быть более ценным.

Вот статья, в которой проводится отличная аналогия паспорта с замком и ключом.

Говоря об аутентификации (также называемой AuthN), подумайте об идентичности. Аутентификация пытается ответить: «Это человек, о котором они говорят?» Это программный эквивалент паспорта или проверки национального удостоверения личности. Или, говоря более реалистично, аутентификация - это процесс, похожий на тот момент, когда вы смотрите в лицо другого человека, чтобы узнать, что это ваш друг из колледжа, а не раздражающий сосед по второму этажу.

С другой стороны, авторизация (также называемая AuthZ) - это все о разрешениях. Авторизация отвечает на вопрос «что этому человеку разрешено делать в этом пространстве?» Вы можете считать его ключом от дома или офисным значком. Вы можете открыть входную дверь? Может ли назойливый сосед зайти в вашу квартиру по желанию? И еще, оказавшись в вашей квартире, кто сможет пользоваться туалетом? Кто может есть из вашего секретного хранилища печенья, спрятанного в кухонном шкафу?

Уоррен Парад
источник