Je vois ces deux termes un peu bandés (en particulier dans les scénarios Web, mais je suppose que ce n'est pas limité à cela) et je me demandais s'il y avait une différence ou non.
Il me semble qu'ils signifient tous les deux que vous êtes autorisé à faire ce que vous faites. Est-ce donc juste une question de nomenclature, ou y a-t-il une différence fondamentale de sens?
Réponses:
Il y a en effet une différence fondamentale. L'authentification est le mécanisme par lequel les systèmes peuvent identifier en toute sécurité leurs utilisateurs. Les systèmes d'authentification cherchent à apporter des réponses aux questions:
L'autorisation, en revanche, est le mécanisme par lequel un système détermine le niveau d'accès qu'un utilisateur particulier (authentifié) devrait avoir aux ressources contrôlées par le système. Pour un exemple qui peut ou non être lié à un scénario basé sur le Web, un système de gestion de base de données peut être conçu de manière à fournir à certaines personnes spécifiées la possibilité de récupérer des informations à partir d'une base de données mais pas la possibilité de modifier les données stockées dans le base de données, tout en donnant à d’autres personnes la possibilité de modifier les données. Les systèmes d'autorisation fournissent des réponses aux questions:
Steve Riley a écrit un très bon essai sur les raisons pour lesquelles ils doivent rester distincts.
la source
L'authentification fait référence à la vérification de l'identité d'une entité. L'autorisation traite de ce qu'une entité authentifiée est autorisée à faire (par exemple, les autorisations de fichier).
la source
Le point principal est:
la source
Authentification:
L'authentification est le processus de vérification de l'identité d'un utilisateur en obtenant une sorte d'informations d'identification et en utilisant ces informations d'identification pour vérifier l'identité de l'utilisateur. Si les informations d'identification sont valides, le processus d'autorisation démarre. Le processus d'authentification passe toujours au processus d'autorisation.
Autorisation:
L'autorisation est le processus permettant à un utilisateur authentifié d'accéder aux ressources en vérifiant si l'utilisateur a des droits d'accès au système. L'autorisation vous aide à contrôler les droits d'accès en accordant ou en refusant des autorisations spécifiques à un utilisateur authentifié.
la source
D'après mon expérience, l'authentification fait généralement référence au processus plus technique, c'est-à-dire l'authentification d'un utilisateur (en vérifiant les identifiants de connexion / mot de passe, les certificats, etc.), alors que l'autorisation est davantage utilisée dans la logique métier d'une application.
Par exemple, dans une application, un utilisateur peut se connecter et être authentifié, mais pas autorisé à exécuter certaines fonctions.
la source
Authentifier un utilisateur sur un site Web signifie que vous vérifiez que cet utilisateur est un utilisateur valide, c'est-à-dire que l'utilisateur utilise son nom d'utilisateur / mot de passe ou des certificats, etc. En termes courants, la personne est-elle autorisée à entrer dans le bâtiment?
L'autorisation est le processus de vérification si l'utilisateur dispose des droits / autorisations pour accéder à certaines ressources ou sections d'un site Web, par exemple, s'il s'agit d'un CMS, l'utilisateur est alors autorisé à modifier le contenu du site Web. En termes de scénario d'immeuble de bureaux, l'utilisateur est-il autorisé à entrer dans la salle des réseaux du bureau.
la source
Si je peux me connecter, mes informations d'identification sont vérifiées et je suis AUTHENTIFIÉ. Si je peux effectuer une tâche particulière, je suis AUTORISÉ à le faire.
la source
L'authentification vérifie qui vous êtes et l'autorisation vérifie ce que vous êtes autorisé à faire. Par exemple, vous êtes autorisé à vous connecter à votre serveur Unix via le client ssh, mais vous n'êtes pas autorisé à naviguer / data2 ou à tout autre système de fichiers. L'autorisation se produit après une authentification réussie ........
la source
L'authentification vérifie qui vous êtes et l'autorisation vérifie ce que vous êtes autorisé à faire. Par exemple, vous êtes autorisé à vous connecter à votre serveur Unix via le client ssh, mais vous n'êtes pas autorisé à naviguer / data2 ou à tout autre système de fichiers. L'autorisation se produit après une authentification réussie.
la source
Authentification: vérifier qui est un utilisateur.
Pour s'authentifier, l'utilisateur fournit des informations d'identification telles qu'un nom d'utilisateur et un mot de passe et si les informations d'identification sont valides, l'utilisateur reçoit un jeton qui peut être envoyé avec de futures demandes comme vérification de son authentification.
Autorisation: déterminer ce qu'un utilisateur est autorisé à faire.
Du point de vue de l'utilisateur, une autorisation réussie a lieu lorsqu'elle est capable d'envoyer une demande d'accès à un système et de faire quelque chose (comme télécharger un fichier dans le système) et cela fonctionne.
L'authentification vérifie uniquement l'identité - elle confirme qu'un utilisateur est bien celui qu'il prétend être. L'autorisation détermine les ressources auxquelles un utilisateur vérifié peut accéder.
la source
Authentification
L'authentification vérifie qui vous êtes. Par exemple, vous pouvez vous connecter à votre serveur à l'aide du client ssh ou accéder à votre serveur de messagerie à l'aide du client POP3 et SMTP.
Autorisation
L'autorisation vérifie ce que vous êtes autorisé à faire. Par exemple, vous êtes autorisé à vous connecter à votre serveur via le client ssh, mais vous n'êtes pas autorisé à naviguer / data2 ou à tout autre système de fichiers. L'autorisation se produit après une authentification réussie.
la source
L'autorisation est un processus par lequel le serveur détermine si le client a l'autorisation d'utiliser des ressources ou d'accéder à un fichier.
L'authentification est utilisée par un serveur lorsque le serveur a besoin de savoir exactement qui accède à ses informations ou à son site.
la source
Exemple simple en temps réel, si l'élève vient à l'école, le directeur vérifie l'authentification et l'autorisation. Authentification: Vérifiez la carte d'identité de l'étudiant, cela signifie qu'il appartient ou non à notre école. Autorisation: Vérifiez que l'élève a la permission de s'asseoir ou non dans le laboratoire de programmation informatique.
la source
J'ai essayé de créer une image pour expliquer cela dans les mots les plus simples
1) L'authentification signifie "Êtes-vous qui vous dites être?"
2) Autorisation signifie "Devriez-vous être capable de faire ce que vous essayez de faire?".
Ceci est également décrit dans l'image ci-dessous.
la source
Authentification :
C'est le processus de validation si une identité est vraie ou fausse. En d'autres termes, vérifier qu'un utilisateur est bien celui qu'il prétend être.
Types d'authentification:
OpenID est un standard ouvert pour l'authentification.
Autorisation
La technique qui détermine quelles ressources sont accessibles à un utilisateur avec une identité ou un rôle donné.
OAuth est une norme ouverte pour l'autorisation.
la source
Authentification : une application doit savoir qui accède à l'application. Donc, l'authentification est liée au mot qui. L'application le vérifiera par un formulaire de connexion. L'utilisateur entrera le nom d'utilisateur et le mot de passe et ces entrées seront validées par l'application. Une fois la validation réussie, l'utilisateur est déclaré authentifié.
L'autorisation consiste à vérifier si l'utilisateur peut accéder à l'application ou non ou à quel utilisateur peut accéder et à quel utilisateur ne peut pas accéder. Source: authentification vs autorisation
la source
Par rapport au reste des réponses qui tentent de spécifier explicitement la définition ou la technologie. Je vais soumettre un exemple peut être plus précieux.
Voici un article qui fait une excellente analogie entre un passeport et une serrure et une clé
la source