C'è una differenza tra autenticazione e autorizzazione?

Vedo questi due termini sbandierati un po '(in particolare negli scenari basati sul web, ma suppongo che non sia limitato a questo) e mi chiedevo se ci fosse o meno una differenza.

Mi sembra che entrambi significhino che ti è permesso fare quello che stai facendo. Quindi è solo una nomenclatura o c'è una differenza fondamentale di significato?

C'è davvero una differenza fondamentale. L'autenticazione è il meccanismo mediante il quale i sistemi possono identificare in modo sicuro i propri utenti. I sistemi di autenticazione cercano di fornire risposte alle domande:

• Chi è l'utente?
• L'utente è davvero chi afferma / rappresenta di essere?

L'autorizzazione, al contrario, è il meccanismo mediante il quale un sistema determina quale livello di accesso un particolare utente (autenticato) dovrebbe avere alle risorse controllate dal sistema. Per un esempio che può o non può essere correlato a uno scenario basato sul web, un sistema di gestione del database potrebbe essere progettato in modo da fornire a determinati individui specificati la capacità di recuperare le informazioni da un database ma non la capacità di modificare i dati memorizzati nel database, dando ad altre persone la possibilità di modificare i dati. I sistemi di autorizzazione forniscono risposte alle domande:

• L'utente X è autorizzato ad accedere alla risorsa R?
• L'utente X è autorizzato a eseguire l'operazione P?
• L'utente X è autorizzato a eseguire l'operazione P sulla risorsa R?

Steve Riley ha scritto un saggio abbastanza buono sul perché devono rimanere distinti.

L'autenticazione si riferisce alla verifica dell'identità di un'entità. L'autorizzazione si occupa di ciò che un'entità autenticata è autorizzata a fare (ad esempio i permessi dei file).

Il punto principale è:

• L'autenticazione si occupa della convalida dell'account utente. È un utente valido? Questo utente è registrato nella nostra applicazione ?. ad esempio: Accedi
• L'autorizzazione si occupa della convalida dell'accesso dell'utente a determinate funzionalità. Questo utente dispone dell'autorizzazione / diritto per accedere a questa funzione? ad esempio: reclami, ruoli

Autenticazione:

L'autenticazione è il processo di verifica dell'identità di un utente ottenendo una sorta di credenziali e utilizzando tali credenziali per verificare l'identità dell'utente. Se le credenziali sono valide, inizia il processo di autorizzazione. Il processo di autenticazione procede sempre al processo di autorizzazione.

Autorizzazione:

L'autorizzazione è il processo che consente a un utente autenticato di accedere alle risorse controllando se l'utente dispone dei diritti di accesso al sistema. L'autorizzazione ti aiuta a controllare i diritti di accesso concedendo o negando autorizzazioni specifiche a un utente autenticato.

Nella mia esperienza, l'autenticazione di solito si riferisce al processo più tecnico, ovvero l'autenticazione di un utente (controllando le credenziali di login / password, i certificati, ecc.), Mentre l'autorizzazione viene utilizzata maggiormente nella logica di business di un'applicazione.

Ad esempio, in un'applicazione, un utente potrebbe accedere ed essere autenticato, ma non autorizzato a eseguire determinate funzioni.

Autenticare un utente su un sito web significa verificare che questo utente sia un utente valido, cioè verificare chi sta usando nome utente / password o certificati, ecc. In termini comuni, la persona è autorizzata a entrare nell'edificio?

L'autorizzazione è il processo di verifica se l'utente dispone dei diritti / permesso per accedere a determinate risorse o sezioni di un sito Web, ad esempio, se si tratta di un CMS, l'utente è autorizzato a modificare il contenuto del sito Web. In termini di scenario di edificio per uffici, l'utente è autorizzato a entrare nella stanza delle reti dell'ufficio.

Se riesco ad accedere, le mie credenziali vengono verificate e sono AUTENTICATO. Se posso eseguire un compito particolare, SONO AUTORIZZATO a farlo.

L'autenticazione verifica chi sei e l'autorizzazione verifica cosa sei autorizzato a fare. Ad esempio, sei autorizzato ad accedere al tuo server Unix tramite il client ssh, ma non sei autorizzato a browser / data2 o qualsiasi altro file system. L'autorizzazione avviene dopo l'autenticazione riuscita ........

L'autenticazione verifica chi sei e l'autorizzazione verifica cosa sei autorizzato a fare. Ad esempio, sei autorizzato ad accedere al tuo server Unix tramite il client ssh, ma non sei autorizzato a browser / data2 o qualsiasi altro file system. L'autorizzazione avviene dopo l'autenticazione riuscita.

Autenticazione: verificare chi è un utente.

Per autenticarsi, l'utente fornisce informazioni sulle credenziali come nome utente e password e se le credenziali sono valide, l'utente riceve un token che può essere inviato con richieste future come verifica della sua autenticazione.

Autorizzazione: determinare ciò che un utente è autorizzato a fare.

Dal punto di vista dell'utente, si verifica un'autorizzazione di successo quando è in grado di inviare una richiesta per accedere a un sistema e fare qualcosa (come caricare un file nel sistema) e funziona.

L'autenticazione verifica solo l'identità: conferma che un utente è chi afferma di essere. L'autorizzazione determina a quali risorse può accedere un utente verificato.

Autenticazione

L'autenticazione verifica chi sei. Ad esempio, puoi accedere al tuo server utilizzando il client ssh o accedere al tuo server di posta elettronica utilizzando il client POP3 e SMTP.

Autorizzazione

L'autorizzazione verifica cosa sei autorizzato a fare. Ad esempio, sei autorizzato ad accedere al tuo server tramite il client ssh, ma non sei autorizzato a browser / data2 o qualsiasi altro file system. L'autorizzazione avviene dopo l'autenticazione riuscita.

L'autorizzazione è un processo mediante il quale il server determina se il client dispone dell'autorizzazione per utilizzare una risorsa o accedere a un file.

L'autenticazione viene utilizzata da un server quando il server deve sapere esattamente chi sta accedendo alle proprie informazioni o al sito.

Semplice esempio in tempo reale, se uno studente viene a scuola, il preside sta controllando l'autenticazione e l'autorizzazione. Autenticazione: controllare la carta d'identità dello studente significa che appartiene alla nostra scuola o no. Autorizzazione: verifica che lo studente abbia o meno il permesso di partecipare al Computer Programming Lab.

Ho provato a creare un'immagine per spiegare questo con le parole più semplici

1) Autenticazione significa "Sei chi dici di essere?"

2) Autorizzazione significa "Dovresti essere in grado di fare quello che stai cercando di fare?".

Questo è anche descritto nell'immagine sottostante.

Autenticazione :

È il processo di convalida se un'identità è vera o falsa. In altre parole, verificare che un utente sia effettivamente quello che afferma di essere.

Tipi di autenticazione:

1. Nome utente + password tipo di autenticazione
2. Autenticazione tramite account social
3. Autenticazione senza password
4. Autenticazione a più fattori
5. Autenticazione basata su impronte digitali o retina, ecc

OpenID è uno standard aperto per l'autenticazione.

Autorizzazione

La tecnica che determina quali risorse sono accessibili a un utente con una determinata identità o ruolo.

OAuth è uno standard aperto per l'autorizzazione.

Autenticazione : un'applicazione deve sapere chi sta accedendo all'applicazione. Quindi l'autenticazione è correlata alla parola who. L'applicazione lo controllerà tramite un modulo di accesso. L'utente immetterà il nome utente e la password e questi input verranno convalidati dall'applicazione. Una volta che la convalida ha esito positivo, l'utente viene dichiarato autenticato.

L'autorizzazione consiste nel verificare se l'utente può accedere all'applicazione o meno o quale utente può accedere e quale utente non può accedere. Fonte: autenticazione vs autorizzazione

Rispetto al resto delle risposte che cercano di specificare esplicitamente la definizione o la tecnologia. Vi presenterò un esempio che può essere più prezioso.

Ecco un articolo che fa una grande analogia con un passaporto contro un lucchetto e una chiave

Quando parli di autenticazione (chiamata anche AuthN), pensa all'identità. L'autenticazione cerca di rispondere "questa persona è chi dice di essere?" È l'equivalente software di un passaporto o di un documento d'identità nazionale. O per dirla in termini più realistici, l'autenticazione è un processo simile a quel momento in cui guardi il viso di un'altra persona per riconoscere che questo è il tuo amico del college e non il tuo fastidioso vicino del secondo piano.

D'altra parte, l' autorizzazione (chiamata anche AuthZ) riguarda i permessi. L'autorizzazione risponde a una domanda "cosa può fare questa persona in questo spazio?" Puoi pensarlo come la chiave di casa o il badge dell'ufficio. Puoi aprire la porta di casa? Il tuo fastidioso vicino può entrare nel tuo appartamento a volontà? E ancora, una volta nel tuo appartamento, chi può usare il bagno? Chi può mangiare dalla tua scorta segreta di biscotti nascosta nella credenza della tua cucina?