Gibt es einen Unterschied zwischen Authentifizierung und Autorisierung?

Ich sehe, dass diese beiden Begriffe ziemlich häufig vorkommen (insbesondere in webbasierten Szenarien, aber ich nehme an, dass sie nicht darauf beschränkt sind), und ich habe mich gefragt, ob es einen Unterschied gibt oder nicht.

Es scheint mir, dass beide bedeuten, dass Sie tun dürfen, was Sie tun. Ist das also nur eine Nomenklatur oder gibt es einen grundlegenden Unterschied in der Bedeutung?

Es gibt tatsächlich einen grundlegenden Unterschied. Die Authentifizierung ist der Mechanismus, mit dem Systeme ihre Benutzer sicher identifizieren können. Authentifizierungssysteme versuchen, Antworten auf die folgenden Fragen zu geben:

• Wer ist der Benutzer?
• Ist der Benutzer wirklich der, für den er sich ausgibt / darstellt?

Im Gegensatz dazu ist die Autorisierung der Mechanismus, mit dem ein System bestimmt, welche Zugriffsebene ein bestimmter (authentifizierter) Benutzer auf vom System kontrollierte Ressourcen haben soll. Für ein Beispiel, das sich möglicherweise auf ein webbasiertes Szenario bezieht oder nicht, kann ein Datenbankverwaltungssystem so konzipiert sein, dass bestimmte angegebene Personen die Möglichkeit haben, Informationen aus einer Datenbank abzurufen, nicht jedoch die in der Datenbank gespeicherten Daten zu ändern Datenbank, während andere Personen die Möglichkeit geben, Daten zu ändern. Autorisierungssysteme geben Antworten auf folgende Fragen:

• Ist Benutzer X berechtigt, auf Ressource R zuzugreifen?
• Ist Benutzer X berechtigt, Operation P auszuführen?
• Ist Benutzer X berechtigt, Operation P für Ressource R auszuführen?

Steve Riley hat einen ziemlich guten Aufsatz darüber geschrieben, warum sie verschieden bleiben müssen.

Authentifizierung bezieht sich auf die Überprüfung der Identität einer Entität. Die Autorisierung behandelt, was eine authentifizierte Entität tun darf (z. B. Dateiberechtigungen).

Der Hauptpunkt ist:

• Die Authentifizierung befasst sich mit der Überprüfung des Benutzerkontos. Ist das ein gültiger Benutzer? Ist dieser Benutzer in unserer Anwendung registriert? zB: Login
• Die Autorisierung befasst sich mit der Überprüfung des Benutzerzugriffs auf bestimmte Funktionen. Hat dieser Benutzer die Berechtigung / das Recht, auf diese Funktion zuzugreifen? zB: Ansprüche, Rollen

Authentifizierung:

Bei der Authentifizierung wird die Identität eines Benutzers überprüft, indem eine Art von Anmeldeinformationen abgerufen und diese Anmeldeinformationen zur Überprüfung der Identität des Benutzers verwendet werden. Wenn die Anmeldeinformationen gültig sind, wird der Autorisierungsprozess gestartet. Der Authentifizierungsprozess fährt immer mit dem Autorisierungsprozess fort.

Genehmigung:

Bei der Autorisierung wird einem authentifizierten Benutzer der Zugriff auf die Ressourcen ermöglicht, indem überprüft wird, ob der Benutzer über Zugriffsrechte auf das System verfügt. Mithilfe der Autorisierung können Sie die Zugriffsrechte steuern, indem Sie einem authentifizierten Benutzer bestimmte Berechtigungen erteilen oder verweigern.

Nach meiner Erfahrung bezieht sich die Authentifizierung normalerweise auf den eher technischen Prozess, dh die Authentifizierung eines Benutzers (durch Überprüfen der Anmelde- / Kennwortanmeldeinformationen, Zertifikate usw.), während die Autorisierung eher in der Geschäftslogik einer Anwendung verwendet wird.

In einer Anwendung kann sich ein Benutzer beispielsweise anmelden und authentifiziert werden, ist jedoch nicht berechtigt, bestimmte Funktionen auszuführen.

Die Authentifizierung eines Benutzers auf einer Website bedeutet, dass Sie überprüfen, ob dieser Benutzer ein gültiger Benutzer ist, dh ob der Benutzer Benutzername / Passwort oder Zertifikate usw. verwendet. Darf die Person allgemein das Gebäude betreten?

Bei der Autorisierung wird überprüft, ob der Benutzer über Rechte / Berechtigungen zum Zugriff auf bestimmte Ressourcen oder Abschnitte einer Website verfügt. Wenn es sich beispielsweise um ein CMS handelt, ist der Benutzer berechtigt, den Inhalt der Website zu ändern. In Bezug auf das Bürogebäudeszenario darf der Benutzer den Netzwerkraum des Büros betreten.

Wenn ich mich anmelden kann, werden meine Anmeldeinformationen überprüft und ich bin AUTHENTIFIZIERT. Wenn ich eine bestimmte Aufgabe ausführen kann, bin ich dazu AUTORISIERT.

Durch die Authentifizierung wird überprüft, wer Sie sind, und durch die Autorisierung wird überprüft, wozu Sie berechtigt sind. Sie können sich beispielsweise über den SSH-Client bei Ihrem Unix-Server anmelden, sind jedoch nicht berechtigt, Browser / Daten2 oder ein anderes Dateisystem zu verwenden. Die Autorisierung erfolgt nach erfolgreicher Authentifizierung ........

Ich habe versucht, ein Bild zu erstellen, um dies mit den einfachsten Worten zu erklären

1) Authentifizierung bedeutet "Sind Sie der, von dem Sie sagen, dass Sie es sind?"

2) Autorisierung bedeutet "Sollten Sie in der Lage sein, das zu tun, was Sie versuchen?".

Dies wird auch im Bild unten beschrieben.

Durch die Authentifizierung wird überprüft, wer Sie sind, und durch die Autorisierung wird überprüft, wozu Sie berechtigt sind. Sie können sich beispielsweise über den SSH-Client bei Ihrem Unix-Server anmelden, sind jedoch nicht berechtigt, Browser / Daten2 oder ein anderes Dateisystem zu verwenden. Die Autorisierung erfolgt nach erfolgreicher Authentifizierung.

Authentifizierung: Überprüfen, wer ein Benutzer ist.

Zur Authentifizierung stellt der Benutzer Anmeldeinformationen wie einen Benutzernamen und ein Kennwort bereit. Wenn die Anmeldeinformationen gültig sind, erhält der Benutzer ein Token, das mit zukünftigen Anforderungen zur Überprüfung seiner Authentifizierung gesendet werden kann.

Autorisierung: Festlegen, was ein Benutzer tun darf.

Aus Sicht des Benutzers erfolgt eine erfolgreiche Autorisierung, wenn er eine Anforderung zum Zugriff auf ein System senden und etwas tun kann (z. B. eine Datei in das System hochladen), und dies funktioniert.

Durch die Authentifizierung wird nur die Identität überprüft. Sie bestätigt, dass ein Benutzer der ist, für den er sich ausgibt. Die Autorisierung bestimmt, auf welche Ressourcen ein verifizierter Benutzer zugreifen kann.

Authentifizierung

Die Authentifizierung überprüft, wer Sie sind. Sie können sich beispielsweise mit dem SSH-Client bei Ihrem Server anmelden oder mit dem POP3- und SMTP-Client auf Ihren E-Mail-Server zugreifen.

Genehmigung

Die Autorisierung überprüft, wozu Sie berechtigt sind. Sie können sich beispielsweise über den SSH-Client bei Ihrem Server anmelden, sind jedoch nicht berechtigt, Browser / Daten2 oder ein anderes Dateisystem zu verwenden. Die Autorisierung erfolgt nach erfolgreicher Authentifizierung.

Die Autorisierung ist ein Prozess, bei dem der Server bestimmt, ob der Client die Berechtigung zur Verwendung einer Ressource oder einer Zugriffsdatei hat.

Die Authentifizierung wird von einem Server verwendet, wenn der Server genau wissen muss, wer auf seine Informationen oder seine Site zugreift.

Einfaches Beispiel in Echtzeit: Wenn der Schüler zur Schule kommt, überprüft der Schulleiter die Authentifizierung und Autorisierung. Authentifizierung: Überprüfen Sie den Studentenausweis, ob er oder sie zu unserer Schule gehört oder nicht. Autorisierung: Überprüfen Sie, ob der Schüler die Erlaubnis hat, im Computer Programming Lab zu sitzen oder nicht.

Authentifizierung :

Es ist der Prozess der Überprüfung, ob eine Identität wahr oder falsch ist. Mit anderen Worten: Überprüfen, ob ein Benutzer tatsächlich derjenige ist, für den er sich ausgibt.

Authentifizierungstypen:

1. Benutzername + Passwort Art der Authentifizierung
2. Authentifizierung über soziale Konten
3. Passwortlose Authentifizierung
4. Multifaktor-Authentifizierung
5. Authentifizierung auf Basis von Fingerabdrücken oder Netzhaut usw.

OpenID ist ein offener Standard für die Authentifizierung.

Genehmigung

Die Technik, die bestimmt, auf welche Ressourcen ein Benutzer mit einer bestimmten Identität oder Rolle zugreifen kann.

OAuth ist ein offener Standard für die Autorisierung.

Authentifizierung : Eine Anwendung muss wissen, wer auf die Anwendung zugreift. Die Authentifizierung hängt also mit dem Wort who zusammen. Die Anwendung überprüft dies anhand eines Anmeldeformulars. Der Benutzer gibt den Benutzernamen und das Passwort ein und diese Eingaben werden von der Anwendung validiert. Nach erfolgreicher Validierung wird der Benutzer als authentifiziert deklariert.

Mit der Autorisierung soll überprüft werden, ob der Benutzer auf die Anwendung zugreifen kann oder nicht oder welcher Benutzer darauf zugreifen kann und welcher Benutzer nicht darauf zugreifen kann. Quelle: Authentifizierung gegen Autorisierung

Im Vergleich zu den übrigen Antworten, die versuchen, die Definition oder Technologie explizit anzugeben. Ich werde ein Beispiel einreichen, das wertvoller sein kann.

Hier ist ein Artikel, der eine großartige Analogie zu einem Pass im Vergleich zu einem Schloss und einem Schlüssel darstellt

Wenn über das Sprechen Authentifizierung (auch AuthN genannt), darüber nachzudenken , Identität. Die Authentifizierung versucht zu antworten: "Ist diese Person die, von der sie sagt, dass sie sie ist?" Es ist ein Software-Äquivalent zu einem Reisepass oder einer nationalen ID-Prüfung. Genauer gesagt ist die Authentifizierung ein ähnlicher Vorgang wie in dem Moment, in dem Sie auf das Gesicht einer anderen Person schauen, um zu erkennen, dass dies Ihr Freund vom College und nicht Ihr nerviger Nachbar im zweiten Stock ist.

Auf der anderen Seite dreht sich bei der Autorisierung (auch AuthZ genannt) alles um Berechtigungen. Die Autorisierung beantwortet eine Frage: "Was darf diese Person in diesem Bereich tun?" Sie können es sich als Ihren Hausschlüssel oder Büroausweis vorstellen. Können Sie Ihre Haustür öffnen? Kann Ihr nerviger Nachbar Ihre Wohnung nach Belieben betreten? Und mehr noch, wer kann in Ihrer Wohnung die Toilette benutzen? Wer kann von Ihrem geheimen Vorrat an Keksen essen, die in Ihrem Küchenschrank versteckt sind?