webentwicklung-frage-antwort-db.com.de

Gibt es einen Unterschied zwischen Authentifizierung und Autorisierung?

Ich sehe, dass diese beiden Begriffe ziemlich viel miteinander zu tun haben (insbesondere in webbasierten Szenarien, aber ich denke, das ist nicht darauf beschränkt), und ich fragte mich, ob es einen Unterschied gab oder nicht.

Es scheint mir, dass beide bedeuten, dass Sie tun dürfen, was Sie tun. Ist das also nur eine Nomenklatur oder gibt es einen grundlegenden Unterschied in der Bedeutung?

88
paxdiablo

Es gibt tatsächlich einen grundlegenden Unterschied. Authentifizierung ist der Mechanismus, mit dem Systeme ihre Benutzer sicher identifizieren können. Authentifizierungssysteme versuchen Antworten auf die Fragen zu geben:

  • Wer ist der benutzer
  • Ist der Benutzer wirklich der, für den er/sie sich selbst steht?

Autorisierung dagegen ist der Mechanismus, durch den ein System bestimmt, welche Zugriffsebene ein bestimmter (authentifizierter) Benutzer auf vom System kontrollierte Ressourcen haben sollte. Für ein Beispiel, das mit einem webbasierten Szenario in Zusammenhang stehen kann oder nicht, könnte ein Datenbankverwaltungssystem so gestaltet sein, dass es bestimmten bestimmten Personen die Möglichkeit bietet, Informationen aus einer Datenbank abzurufen, nicht jedoch die Möglichkeit, in der Datenbank gespeicherte Daten zu ändern Datenbank, während andere Personen die Möglichkeit haben, Daten zu ändern. Autorisierungssysteme geben Antworten auf die Fragen:

  • Ist Benutzer X berechtigt, auf die Ressource R zuzugreifen?
  • Ist der Benutzer X berechtigt, die Operation P auszuführen?
  • Ist der Benutzer X berechtigt, die Operation P für die Ressource R auszuführen?

Steve Riley hat ein ziemlich gutes Essay darüber geschrieben, warum sie deutlich bleiben müssen.

126

Authentifizierung bezieht sich auf die Überprüfung der Identität einer Entität. Die Autorisierung befasst sich mit der Berechtigung einer authentifizierten Entität (z. B. Dateiberechtigungen).

40
jpm

Der Hauptpunkt ist:

  • Authentifizierung befasst sich mit der Validierung von Benutzerkonten. Ist das ein gültiger Benutzer? Ist dieser Benutzer in unserer Anwendung registriert? z.B.: Login
  • Authorization befasst sich mit der Überprüfung des Benutzerzugriffs auf bestimmte Funktionen. Hat dieser Benutzer die Berechtigung/das Recht, auf diese Funktion zuzugreifen? z.B.: Ansprüche, Rollen
12
Yusup

Authentifizierung:

Bei der Authentifizierung wird die Identität eines Benutzers überprüft, indem eine Art Anmeldeinformationen abgerufen und diese Anmeldeinformationen zur Überprüfung der Identität des Benutzers verwendet werden. Wenn die Anmeldeinformationen gültig sind, wird der Autorisierungsprozess gestartet. Der Authentifizierungsprozess geht immer zum Autorisierungsprozess über.

Genehmigung:

Bei der Autorisierung wird einem authentifizierten Benutzer der Zugriff auf die Ressourcen ermöglicht, indem geprüft wird, ob der Benutzer über Zugriffsrechte für das System verfügt. Mithilfe der Autorisierung können Sie Zugriffsrechte steuern, indem Sie einem authentifizierten Benutzer bestimmte Berechtigungen erteilen oder verweigern.

5
Humoyun

Nach meiner Erfahrung bezieht sich Authentifizierung normalerweise auf den eher technischen Prozess, d. H. Auf die Authentifizierung eines Benutzers (durch Überprüfen der Anmeldeinformationen/Anmeldeinformationen, Zertifikate usw.), während die Autorisierung in der Geschäftslogik einer Anwendung stärker verwendet wird.

In einer Anwendung kann sich ein Benutzer beispielsweise anmelden und authentifiziert werden, er ist jedoch nicht berechtigt, bestimmte Funktionen auszuführen.

2
nageeb

Durch die Authentifizierung wird überprüft, wer Sie sind, und durch die Autorisierung wird überprüft, zu was Sie berechtigt sind. Beispielsweise können Sie sich über den SSH-Client bei Ihrem Unix-Server anmelden, aber Sie haben keine Berechtigung für Browser/data2 oder ein anderes Dateisystem. Die Autorisierung erfolgt nach erfolgreicher Authentifizierung.

1
Bmw

Die Authentifizierung eines Benutzers auf einer Website bedeutet, dass Sie überprüfen, ob es sich bei diesem Benutzer um einen gültigen Benutzer handelt, dh um zu überprüfen, wer den Benutzer mit Benutzername/Passwort oder Zertifikaten verwendet.

Bei der Autorisierung wird geprüft, ob der Benutzer über Rechte/Erlaubnis zum Zugriff auf bestimmte Ressourcen oder Abschnitte einer Website verfügt, z. B. wenn sein CMS der Benutzer ist, der zum Ändern des Inhalts der Website berechtigt ist. In Bezug auf das Bürogebäudeszenario darf der Benutzer den Netzwerkraum des Büros betreten.

1
Aziz Shaikh

Wenn ich mich einloggen kann, werden meine Anmeldeinformationen überprüft und ich bin authentifiziert. Wenn ich eine bestimmte Aufgabe ausführen kann, bin ich dazu autorisiert. 

1
Puneet Pandey

Authentifizierung: Überprüfen, wer ein Benutzer ist.

Zur Authentifizierung stellt der Benutzer Anmeldeinformationen wie Benutzername und Kennwort bereit. Wenn die Anmeldeinformationen gültig sind, erhält der Benutzer ein Token, das mit zukünftigen Anforderungen zur Überprüfung der Authentifizierung gesendet werden kann.

Berechtigung: Bestimmen, was ein Benutzer tun darf.

Aus Sicht des Benutzers findet eine erfolgreiche Autorisierung statt, wenn sie eine Anforderung zum Zugriff auf ein System senden und etwas tun kann (z. B. eine Datei im System hochladen) und dies funktioniert.

Die Authentifizierung überprüft nur die Identität. Sie bestätigt, dass ein Benutzer derjenige ist, für den er sich ausgibt. Die Autorisierung bestimmt, auf welche Ressourcen ein überprüfter Benutzer zugreifen kann.

0
Smrity

Die Autorisierung ist ein Prozess, bei dem der Server ermittelt, ob der Client die Berechtigung zum Verwenden von Ressourcen oder zum Zugriff auf eine Datei hat.

Die Authentifizierung wird von einem Server verwendet, wenn der Server genau wissen muss, wer auf seine Informationen oder Site zugreift. 

0
Shankar Ghimire

Durch die Authentifizierung wird überprüft, wer Sie sind, und durch die Autorisierung wird überprüft, zu was Sie berechtigt sind. Beispielsweise können Sie sich über den SSH-Client bei Ihrem Unix-Server anmelden, aber Sie haben keine Berechtigung für Browser/data2 oder ein anderes Dateisystem. Die Autorisierung erfolgt nach erfolgreicher Authentifizierung.

0
vinit payal

Ich habe versucht, ein Bild zu erstellen, um dies mit den einfachsten Worten zu erklären

1) Authentifizierung bedeutet "Bist du der, von dem du sagst, dass du bist?"

2) Autorisierung bedeutet "Sollten Sie in der Lage sein, das zu tun, was Sie versuchen zu tun?".

Dies ist auch in der Abbildung unten beschrieben.

 enter image description here 

0
Rohit Ailani

Authentifizierung :

Hierbei wird überprüft, ob eine Identität wahr oder falsch ist. Mit anderen Worten: Überprüfen, dass ein Benutzer tatsächlich derjenige ist, für den er oder sie sich selbst beansprucht. 

Authentifizierungstypen:

  1. Benutzername + Kennwort Authentifizierungstyp
  2. Authentifizierung über soziale Konten 
  3. Passwortlose Authentifizierung 
  4. Multifaktor-Authentifizierung 
  5. Fingerabdruck- oder Retina-basierte Authentifizierung usw

OpenID ist ein offener Standard für die Authentifizierung.

Genehmigung

Die Technik, die bestimmt, welche Ressourcen für einen Benutzer mit einer bestimmten Identität oder Rolle verfügbar sind.

OAuth ist ein offener Standard für die Autorisierung.

0

Ein einfaches Echtzeit-Beispiel: Wenn der Schüler zur Schule kommt, überprüft der Auftraggeber die Authentifizierung und die AutorisierungAuthentifizierung: Überprüfen Sie den Schülerausweis, dass er oder sie zu unserer Schule gehört oder nichtAutorisierung: Überprüfen Sie, ob der Schüler berechtigt ist, im Computerprogrammier-Labor zu sitzen oder nicht.

0
sambhu

Authentifizierung

Die Authentifizierung überprüft, wer Sie sind. Sie können sich beispielsweise mit dem ssh-Client bei Ihrem Server anmelden oder mit dem POP3- und SMTP-Client auf Ihren E-Mail-Server zugreifen.

Genehmigung

Die Autorisierung prüft, wozu Sie berechtigt sind. Beispielsweise können Sie sich über den SSH-Client bei Ihrem Server anmelden, aber Sie sind nicht berechtigt, Browser/Data2 oder ein anderes Dateisystem zu verwenden. Die Autorisierung erfolgt nach erfolgreicher Authentifizierung.

0
Bilali Hamisi