Qual é a diferença no contexto de aplicativos da web? Eu vejo muito a abreviação "auth". Significa autenticação de autenticação ou autenticação ? Ou são os dois?
authn
para autenticação e authz
autorização
Qual é a diferença no contexto de aplicativos da web? Eu vejo muito a abreviação "auth". Significa autenticação de autenticação ou autenticação ? Ou são os dois?
authn
para autenticação e authz
autorização
Respostas:
Autenticação é o processo de verificar se alguém realmente é quem afirma ser.
Autorização refere-se a regras que determinam quem tem permissão para fazer o que. Por exemplo, Adam pode estar autorizado a criar e excluir bancos de dados, enquanto a Usama está autorizada apenas a ler.
Os dois conceitos são completamente ortogonais e independentes, mas ambos são centrais para o design de segurança, e a falha em corrigir um dos dois abre as possibilidades de comprometimento.
Em termos de aplicativos da Web, falando muito bem, a autenticação é quando você verifica as credenciais de logon para ver se reconhece um usuário como logado, e a autorização é quando você pesquisa em seu controle de acesso se permite que o usuário exiba, edite ou exclua ou criar conteúdo.
Em resumo, por favor. :-)
Autenticação = login + senha (quem você é)
Autorização = permissões (o que você tem permissão para fazer)
É provável que uma "autenticação" curta se refira ao primeiro ou a ambos.
Como Autenticação x Autorização coloca:
A autenticação é o mecanismo pelo qual os sistemas podem identificar com segurança seus usuários. Os sistemas de autenticação fornecem respostas para as perguntas:
- Quem é o usuário?
- O usuário é realmente quem ele / ela representa?
A autorização , por outro lado, é o mecanismo pelo qual um sistema determina qual nível de acesso um usuário autenticado específico deve ter para proteger os recursos controlados pelo sistema. Por exemplo, um sistema de gerenciamento de banco de dados pode ser projetado para fornecer a certos indivíduos especificados a capacidade de recuperar informações de um banco de dados, mas não a capacidade de alterar dados armazenados no banco de dados, enquanto oferece a outros indivíduos a capacidade de alterar dados. Os sistemas de autorização fornecem respostas para as perguntas:
- O usuário X está autorizado a acessar o recurso R?
- O usuário X está autorizado a executar a operação P?
- O usuário X está autorizado a executar a operação P no recurso R?
Prefiro Verificação e Permissões a Autenticação e Autorização.
É mais fácil na minha cabeça e no meu código pensar em "verificação" e "permissões" porque as duas palavras
Autenticação é verificação e Autorização está verificando permissão (s). Auth também pode significar, mas é usado com mais frequência como "User Auth", ou seja, "User Authentication"
A confusão é compreensível, pois as duas palavras soam semelhantes e os conceitos são frequentemente relacionados e usados juntos. Além disso, como mencionado, a abreviação Auth , normalmente usada , não ajuda.
Outros já descreveram bem o que significam autenticação e autorização. Aqui está uma regra simples para ajudar a manter os dois claramente separados:
- Auth enti cação valida a sua Id enti dade (ou autenticidade , se você preferir que)
- Autor ização valida o seu autor dade, ou seja, o seu direito de acesso e, possivelmente, mudar alguma coisa.
Eu tentei criar uma imagem para explicar isso nas palavras mais simples
1) Autenticação significa "Você é quem diz ser?"
2) Autorização significa "Você deve ser capaz de fazer o que está tentando fazer?".
Isso também é descrito na imagem abaixo.
Tentei explicá-lo da melhor maneira possível e criei uma imagem do mesmo.
Autenticação é o processo de verificação da identidade proclamada.
Geralmente seguido de autorização , que é a aprovação de que você pode fazer isso e aquilo.
Adicionando a resposta de @ Kerrek;
Autenticação é um formulário Generalizado (Todos os funcionários podem fazer login na máquina)
A autorização é um formulário especializado (mas o administrador pode instalar / desinstalar apenas o aplicativo na máquina)
Autenticação é o processo de verificação do seu nome de usuário e senha de login.
Autorização é o processo de verificação de que você pode acessar alguma coisa.
Autenticação - Você é a pessoa que afirma ser?
Autorização - Você está autorizado a fazer o que está tentando fazer?
Um aplicativo da web usa o Login do Google . Depois que um usuário faz login com êxito, o Google envia de volta:
Além disso:
A empresa pode ter um painel de administração que permita ao suporte ao cliente gerenciar os usuários da empresa. Em vez de fornecer uma solução de inscrição personalizada que permitiria que o suporte ao cliente acesse esse painel, a empresa usa o Login do Google.
O token JWT (recebido do processo de login do Google) é enviado ao servidor de autorização da empresa para descobrir se o usuário tem uma conta do G Suite no domínio hospedado da organização (email@company.com)? E, se o fizerem, são membros do Google Group da empresa, criado para o suporte ao cliente? Se sim, para todas as opções acima, podemos considerá-las autenticadas .
O servidor de autorização da empresa envia ao aplicativo do painel um token de acesso. Esse token de acesso pode ser usado para fazer solicitações autorizadas ao servidor de recursos da empresa (por exemplo, capacidade de fazer uma solicitação GET para um terminal que envia de volta todos os usuários da empresa).
Authentication
é um processo de verificação:
digital signature
Authorization
é o próximo passo depois Authentication
. É sobre permissões / funções / privilégios para recursos. OAuth (Autorização Aberta) é um exemplo de Autorização