Existe-t-il une différence entre authentification et autorisation?
Je vois que ces deux termes sont assez discordants (en particulier dans les scénarios Web mais je suppose que ce n’est pas limité à cela) et je me demandais s’il y avait une différence.
Il me semble qu’ils signifient tous les deux que vous êtes autorisé à faire ce que vous faites. Alors, s’agit-il d’une simple question de nomenclature ou existe-t-il une différence fondamentale de sens?
Il y a en effet une différence fondamentale. L'authentification est le mécanisme par lequel les systèmes peuvent identifier leurs utilisateurs en toute sécurité. Les systèmes d'authentification cherchent à apporter des réponses aux questions suivantes:
- Qui est l'utilisateur?
- Est-ce que l'utilisateur est vraiment ce qu'il/elle se représente?
L'autorisation, en revanche, est le mécanisme par lequel un système détermine le niveau d'accès qu'un utilisateur particulier (authentifié) devrait avoir sur les ressources contrôlées par le système. Pour un exemple lié ou non à un scénario Web, un système de gestion de base de données peut être conçu de manière à donner à certaines personnes spécifiées la possibilité d'extraire des informations d'une base de données mais pas la possibilité de modifier les données stockées dans la base de données. base de données, tout en donnant à d’autres personnes la possibilité de modifier des données. Les systèmes d'autorisation apportent des réponses aux questions suivantes:
- L'utilisateur X est-il autorisé à accéder à la ressource R?
- L'utilisateur X est-il autorisé à effectuer l'opération P?
- L'utilisateur X est-il autorisé à effectuer l'opération P sur la ressource R?
Steve Riley a écrit un très bon essai sur la raison pour laquelle ils doivent rester distincts.
L'authentification fait référence à la vérification de l'identité d'une entité. L'autorisation concerne ce qu'une entité authentifiée est autorisée à faire (par exemple, des autorisations de fichier).
Le point principal est:
- Authentification traite de la validation du compte utilisateur. Est-ce un utilisateur valide? Cet utilisateur est-il enregistré dans notre application?. par exemple: Login
- Authorization traite de la validation de l'accès des utilisateurs pour certaines fonctionnalités. Cet utilisateur a-t-il l'autorisation/le droit d'accéder à cette fonctionnalité? Par exemple: Revendications, rôles
Authentification:
L'authentification est le processus de vérification de l'identité d'un utilisateur en obtenant une sorte d'informations d'identification et en utilisant ces informations pour vérifier l'identité de l'utilisateur. Si les informations d'identification sont valides, le processus d'autorisation démarre. Le processus d'authentification passe toujours au processus d'autorisation.
Autorisation:
L'autorisation est le processus permettant à un utilisateur authentifié d'accéder aux ressources en vérifiant s'il dispose des droits d'accès au système. L'autorisation vous aide à contrôler les droits d'accès en accordant ou en refusant des autorisations spécifiques à un utilisateur authentifié.
D'après mon expérience, l'authentification fait généralement référence au processus plus technique, à savoir l'authentification d'un utilisateur (en vérifiant les informations de connexion/mot de passe, certificats, etc.), alors que l'autorisation est davantage utilisée dans la logique applicative d'une application.
Par exemple, dans une application, un utilisateur peut se connecter et être authentifié, mais pas autorisé à exécuter certaines fonctions.
L'authentification vérifie qui vous êtes et l'autorisation vérifie ce que vous êtes autorisé à faire. Par exemple, vous êtes autorisé à vous connecter à votre serveur Unix via un client ssh, mais vous n'êtes pas autorisé à utiliser browser/data2 ou tout autre système de fichiers. L'autorisation a lieu après une authentification réussie ........
Authentifier un utilisateur sur un site Web signifie que vous vérifiez que cet utilisateur est un utilisateur valide, c'est-à-dire qu'il utilise son nom d'utilisateur/mot de passe ou des certificats, etc. En termes courants, la personne est-elle autorisée à entrer dans le bâtiment?
L'autorisation consiste à vérifier si l'utilisateur dispose des droits/autorisations nécessaires pour accéder à certaines ressources ou à certaines sections d'un site Web. Par exemple, s'il s'agit d'un CMS, il est alors autorisé à modifier le contenu du site. En termes de scénario d’immeuble de bureaux, l’utilisateur est-il autorisé à entrer dans la salle des réseaux du bureau.
Si je peux me connecter, mes informations d'identification sont vérifiées et je suis authentifié. Si je peux accomplir une tâche particulière, je suis AUTORISÉ à le faire.
Authentification: vérifier qui est un utilisateur.
Pour s'authentifier, l'utilisateur fournit des informations d'identification telles qu'un nom d'utilisateur et un mot de passe. Si les informations d'identification sont valides, l'utilisateur reçoit un jeton qui peut être envoyé avec les futures demandes afin de vérifier son authentification.
Autorisation: déterminer ce qu'un utilisateur est autorisé à faire.
Du point de vue de l’utilisateur, une autorisation réussie a lieu lorsqu’il est capable d’envoyer une demande pour accéder à un système et faire quelque chose (comme télécharger un fichier dans le système) et que cela fonctionne.
L’authentification ne vérifie que l’identité - elle confirme qu’un utilisateur est bien ce qu’elle prétend être. L'autorisation détermine les ressources auxquelles un utilisateur vérifié peut accéder.
L'autorisation est un processus par lequel le serveur détermine si le client est autorisé à utiliser un fichier de ressources ou d'accès.
L'authentification est utilisée par un serveur lorsqu'il a besoin de savoir exactement qui accède à leurs informations ou à leur site.
L'authentification vérifie qui vous êtes et l'autorisation vérifie ce que vous êtes autorisé à faire. Par exemple, vous êtes autorisé à vous connecter à votre serveur Unix via un client ssh, mais vous n'êtes pas autorisé à utiliser browser/data2 ou tout autre système de fichiers. L'autorisation survient après une authentification réussie.
J'ai essayé de créer une image pour expliquer cela avec les mots les plus simples.
1) L’authentification signifie "Êtes-vous qui vous dites que vous êtes?"
2) L'autorisation signifie "Si vous êtes capable de faire ce que vous essayez de faire?".
Ceci est également décrit dans l'image ci-dessous.
Authentification :
C'est le processus de validation si une identité est vraie ou fausse. En d'autres termes, vérifier qu'un utilisateur est bien celui qu'il prétend être.
Types d'authentification:
- Nom d'utilisateur + mot de passe type d'authentification
- Authentification à l'aide de comptes sociaux
- Authentification sans mot de passe
- Authentification multifactorielle
- Authentification par empreinte digitale ou rétine, etc.
OpenID est un standard ouvert pour l'authentification.
Autorisation
Technique qui détermine quelles ressources sont accessibles à un utilisateur avec une identité ou un rôle donné.
OAuth est un standard ouvert pour autorisation.
Exemple en temps réel simple, si l’élève vient à l’école, le directeur vérifie l’authentification et l’autorisation . Authentification: Vérifiez la carte d’identité de l’élève, cela signifie qu’il appartient ou non à notre école . Autorisation: Vérifier que l'élève est autorisé à s'asseoir ou non dans un laboratoire de programmation informatique.
Authentification
L'authentification vérifie qui vous êtes. Par exemple, vous pouvez vous connecter à votre serveur à l'aide du client ssh ou accéder à votre serveur de messagerie à l'aide des clients POP3 et SMTP.
Autorisation
L'autorisation vérifie ce que vous êtes autorisé à faire. Par exemple, vous êtes autorisé à vous connecter à votre serveur via le client ssh, mais vous n'êtes pas autorisé à naviguer/data2 ni à aucun autre système de fichiers. L'autorisation survient après une authentification réussie.