Existe uma diferença entre autenticação e autorização?

97

Eu vejo esses dois termos discutidos um pouco (especificamente em cenários baseados na web, mas suponho que não seja limitado a isso) e eu estava me perguntando se havia ou não uma diferença.

Parece-me que ambos significam que você tem permissão para fazer o que está fazendo. Então, isso é apenas uma questão de nomenclatura ou há uma diferença básica de significado?

security

— paxdiablo
fonte

3

Sim. Existe uma grande diferença. Wiki diz o quê? Com 148k, realmente agora ;-) posso autenticar que você é um espião inimigo (ou um soldado raso sem autorização) sem autorizar você a acessar os dados secretos.

É a diferença entre "autêntico" e "autorizado"; inutilmente, ambos abreviam para "auth". O Apache os distingue com "authn" e "authz".

— tc.

Isso é explicado de forma muito simples aqui: serverfault.com/a/57082/227016

— Kuldeep Jain

Isso responde sua pergunta? Autenticação versus Autorização

— Løiten

141

Na verdade, existe uma diferença fundamental. A autenticação é o mecanismo pelo qual os sistemas podem identificar com segurança seus usuários. Os sistemas de autenticação procuram fornecer respostas às perguntas:

Quem é o usuário?
O usuário é realmente quem afirma / representa ser?

A autorização, por outro lado, é o mecanismo pelo qual um sistema determina que nível de acesso um determinado usuário (autenticado) deve ter aos recursos controlados pelo sistema. Para um exemplo que pode ou não estar relacionado a um cenário baseado na web, um sistema de gerenciamento de banco de dados pode ser projetado de modo a fornecer a certos indivíduos especificados a capacidade de recuperar informações de um banco de dados, mas não a capacidade de alterar os dados armazenados no banco de dados, enquanto dá a outros indivíduos a capacidade de alterar dados. Os sistemas de autorização fornecem respostas às perguntas:

O usuário X está autorizado a acessar o recurso R?
O usuário X está autorizado a realizar a operação P?
O usuário X está autorizado a executar a operação P no recurso R?

Steve Riley escreveu um ensaio muito bom sobre por que eles devem permanecer distintos.

— Michael Foukarakis
fonte

3

A autenticação também se aplica a outras coisas (por exemplo, um MAC).

— tc.

O ensaio que você fornece é incrível, obrigado por compartilhá-lo.

— Abdel-Raouf

43

A autenticação refere-se à verificação da identidade de uma entidade. A autorização trata do que uma entidade autenticada tem permissão para fazer (por exemplo, permissões de arquivo).

— jpm
fonte

12

O ponto principal é:

A autenticação trata da validação da conta do usuário. Este é um usuário válido? Este usuário está cadastrado em nosso aplicativo ?. por exemplo: Login
A autorização trata da validação de acesso do usuário a determinado recurso. Este usuário tem autorização / direito de acessar este recurso? por exemplo: reivindicações, funções

— Moch Yusup
fonte

5

Autenticação:

A autenticação é o processo de verificar a identidade de um usuário, obtendo algum tipo de credencial e usando essas credenciais para verificar a identidade do usuário. Se as credenciais forem válidas, o processo de autorização será iniciado. O processo de autenticação sempre segue para o processo de autorização.

Autorização:

Autorização é o processo de permitir que usuários autenticados acessem os recursos, verificando se o usuário tem direitos de acesso ao sistema. A autorização ajuda você a controlar os direitos de acesso concedendo ou negando permissões específicas a um usuário autenticado.

— Humoyun Ahmad
fonte

2

Na minha experiência, a autenticação geralmente se refere ao processo mais técnico, ou seja, a autenticação de um usuário (verificando as credenciais de login / senha, certificados, etc.), enquanto a autorização é mais usada na lógica de negócios de um aplicativo.

Por exemplo, em um aplicativo, um usuário pode fazer o login e ser autenticado, mas não está autorizado a executar certas funções.

— Nageeb
fonte

1

Autenticar um usuário em um site significa que você verifica se esse usuário é um usuário válido, ou seja, verifica quem o usuário está usando nome de usuário / senha ou certificados, etc. Em termos comuns, a pessoa tem permissão para entrar no prédio?

Autorização é o processo de verificar se o usuário tem direitos / permissão para acessar determinados recursos ou seções de um site, por exemplo, se for um CMS, o usuário está autorizado a alterar o conteúdo do site. Em termos de cenário de prédio de escritórios, o usuário tem permissão para entrar na sala de redes do escritório.

— Aziz Shaikh
fonte

1

Se eu conseguir fazer o login, minhas credenciais serão verificadas e ESTOU AUTENTICADO. Se eu puder realizar uma tarefa específica, estou AUTORIZADO para fazê-lo.

— Puneet Pandey
fonte

1

A autenticação verifica quem você é e a autorização verifica o que você está autorizado a fazer. Por exemplo, você tem permissão para fazer login em seu servidor Unix através do cliente ssh, mas não está autorizado para navegador / data2 ou qualquer outro sistema de arquivos. A autorização ocorre após a autenticação bem-sucedida ........

— BMW
fonte

0

A autenticação verifica quem você é e a autorização verifica o que você está autorizado a fazer. Por exemplo, você tem permissão para fazer login em seu servidor Unix através do cliente ssh, mas não está autorizado para navegador / data2 ou qualquer outro sistema de arquivos. A autorização ocorre após a autenticação bem-sucedida.

— vinit payal
fonte

0

Autenticação: verificar quem é o usuário.

Para se autenticar, o usuário fornece informações de credenciais como nome de usuário e senha e, se as credenciais forem válidas, o usuário recebe um token que pode ser enviado com solicitações futuras como verificação de sua autenticação.

Autorização: determinar o que um usuário tem permissão para fazer.

Do ponto de vista do usuário, uma autorização bem-sucedida ocorre quando ele consegue enviar uma solicitação para acessar um sistema e fazer algo (como carregar um arquivo no sistema) e funciona.

A autenticação apenas verifica a identidade - ela confirma se o usuário é quem afirma ser. A autorização determina quais recursos um usuário verificado pode acessar.

— Smrity
fonte

0

Autenticação

A autenticação verifica quem você é. Por exemplo, você pode fazer o login em seu servidor usando o cliente ssh ou acessar seu servidor de e-mail usando o cliente POP3 e SMTP.

Autorização

A autorização verifica o que você está autorizado a fazer. Por exemplo, você tem permissão para fazer login em seu servidor através do cliente ssh, mas não está autorizado para navegador / data2 ou qualquer outro sistema de arquivos. A autorização ocorre após a autenticação bem-sucedida.

— Bilali Hamisi
fonte

0

Autorização é um processo pelo qual o servidor determina se o cliente tem permissão para usar um recurso ou arquivo de acesso.

A autenticação é usada por um servidor quando o servidor precisa saber exatamente quem está acessando suas informações ou site.

— Shankar Ghimire
fonte

0

Exemplo simples em tempo real, se o aluno está vindo para a escola, o diretor está verificando a autenticação e autorização. Autenticação: Verifique a carteira de estudante, significa que ele ou ela pertence à nossa escola ou não. Autorização: Verifique se o aluno tem permissão para sentar ou não no Laboratório de Programação de Computadores.

— Sambhu
fonte

0

Tentei criar uma imagem para explicar isso nas palavras mais simples

1) Autenticação significa "Você é quem diz ser?"

2) Autorização significa "Você deve ser capaz de fazer o que está tentando fazer?".

Isso também é descrito na imagem abaixo.

— Rohit Ailani
fonte

2

por que você adicionaria uma imagem com exatamente o mesmo texto da sua postagem? :)

— Millenjo 01 de

0

Autenticação :

É o processo de validação se uma identidade é verdadeira ou falsa. Em outras palavras, verificar se um usuário é realmente aquele que afirma ser.

Tipos de autenticação:

Tipo de autenticação de nome de usuário + senha
Autenticação usando contas sociais
Autenticação sem senha
Autenticação multifator
Autenticação baseada em impressão digital ou retina, etc.

OpenID é um padrão aberto para autenticação.

Autorização

A técnica que determina quais recursos são acessíveis a um usuário com uma determinada identidade ou função.

OAuth é um padrão aberto para autorização.

— Steffi Keran Rani J
fonte

0

Autenticação : um aplicativo precisa saber quem está acessando o aplicativo. Portanto, a autenticação está relacionada à palavra quem. O aplicativo irá verificar por meio de um formulário de login. O usuário digitará o nome de usuário e a senha e essas entradas serão validadas pelo aplicativo. Assim que a validação for bem-sucedida, o usuário é declarado como autenticado.

A autorização é para verificar se o usuário pode acessar o aplicativo ou não ou qual usuário pode acessar e qual usuário não pode acessar. Fonte: Autenticação Vs Autorização

— rahulnikhare
fonte

0

Em comparação com o resto das respostas que tentam especificar explicitamente a definição ou tecnologia. Vou apresentar um exemplo pode ser mais valioso.

Aqui está um artigo que faz uma ótima analogia entre um passaporte e um cadeado e chave

Ao falar sobre autenticação (também chamada de AuthN), pense na identidade. A autenticação tenta responder "essa pessoa é quem dizem que é?" É um software equivalente a um passaporte ou verificação de identidade nacional. Ou, para colocá-lo em termos mais realistas, a autenticação é um processo semelhante ao momento em que você olha para o rosto de outra pessoa para reconhecer que se trata de seu amigo da faculdade e não de seu vizinho chato do segundo andar.

Por outro lado, a autorização (também chamada de AuthZ) tem tudo a ver com permissões. A autorização responde a uma pergunta "o que esta pessoa tem permissão para fazer neste espaço?" Você pode pensar nisso como a chave de sua casa ou o crachá do escritório. Você pode abrir a porta da frente? Seu vizinho chato pode entrar no seu apartamento à vontade? E mais, uma vez no seu apartamento, quem pode usar o banheiro? Quem pode comer do seu esconderijo secreto de biscoitos guardado no armário da cozinha?

— Warren Parad
fonte