身份验证和授权是安全领域中使用的两个词。 它们可能听起来相似,但彼此完全不同。 身份验证用于验证某人的身份,而授权是一种向某人提供访问特定资源的权限的方式。 这是两个基本的安全术语,因此需要彻底理解。 在本主题中,我们将讨论什么是身份验证和授权以及它们如何相互区分。
什么是认证?
身份验证是通过确保某人与他声称的身份相同来识别某人身份的过程。
它由服务器和客户端使用。 当有人想要访问信息时,服务器使用身份验证,服务器需要知道谁在访问信息。 当客户端想知道它与它声称的服务器是同一台服务器时,他会使用它。
服务器的身份验证主要是通过使用用户名和密码来完成的。 服务器的其他身份验证方式也可以使用卡、视网膜扫描、语音识别和指纹来完成。
身份验证并不能确保一个人可以在流程下执行哪些任务,可以查看、读取或更新哪些文件。 它主要识别个人或系统实际上是谁。
认证因素
根据安全级别和应用程序类型,有不同类型的身份验证因素:
单因素身份验证
单因素身份验证是最简单的身份验证方式。它只需要用户名和密码即可允许用户访问系统。
两因素身份验证
顾名思义,它是两级安全;因此它需要两步验证来验证用户。它不仅需要用户名和密码,还需要只有特定用户知道的唯一信息,例如学校名称、最喜欢的目的地。除此之外,它还可以通过发送 OTP 或用户注册号码或电子邮件地址上的唯一链接来验证用户。
多重身份验证
这是最安全、最高级的授权级别。它需要来自不同和独立类别的两个或两个以上的安全级别。这种类型的身份验证通常用于金融组织、银行和执法机构。这确保消除来自第三方或黑客的任何数据暴露者。
著名的认证技术
1. 基于密码的认证
这是最简单的身份验证方式。它需要特定用户名的密码。如果密码与用户名匹配并且两个详细信息都与系统的数据库匹配,则用户将成功通过身份验证。
2. 无密码认证
在这种技术中,用户不需要任何密码;在他注册的手机号码或电话号码上获得一个 OTP(一次性密码)或链接。也可以说是基于 OTP 的认证。
3. 2FA/MFA
2FA/MFA 或 2-factor authentication/Multi-factor authentication 是更高级别的身份验证。它需要额外的 PIN 或安全问题,以便对用户进行身份验证。
4. 单点登录
单点登录或 SSO 是一种允许使用一组凭据访问多个应用程序的方法。它允许用户登录一次,它会自动从同一集中目录登录到所有其他 Web 应用程序。
5. 社会认证
社会认证不需要额外的安全性;相反,它使用可用社交网络的现有凭据验证用户。
什么是授权?
授权是授权某人做某事的过程。它是一种检查用户是否有权使用资源的方法。
它定义了一个用户可以访问哪些数据和信息。 它也被称为 AuthZ。
授权通常与身份验证一起使用,以便系统可以知道谁正在访问信息。
访问互联网上可用的信息并不总是需要授权。 可以在未经任何授权的情况下访问 Internet 上可用的某些数据,例如您可以从此处阅读任何技术。
授权技术
基于角色的访问控制
RBAC 或基于角色的访问控制技术根据用户在组织中的角色或配置文件提供给用户。 它可以实现为系统到系统或用户到系统。
JSON 网络令牌
JSON Web 令牌或 JWT 是一种开放标准,用于以 JSON 对象的形式在各方之间安全地传输数据。 使用私钥/公钥对验证和授权用户。
SAML
SAML 代表安全断言标记语言。 它是一种向服务提供商提供授权凭证的开放标准。 这些凭证通过数字签名的 XML 文档进行交换。
OpenID 授权
它帮助客户端在身份验证的基础上验证最终用户的身份。
身份验证
OAuth 是一种授权协议,它使 API 能够对请求的资源进行身份验证和访问。
认证与授权区别
认证与授权的主要区别如下所示:
| 认证 | 授权 |
|---|---|
| 身份验证是识别用户以提供对系统的访问的过程。 | 授权是授予访问资源权限的过程。 |
| 验证用户或客户端和服务器。 | 通过定义的策略和规则验证用户是否被允许。 |
| 认证通常在授权之前执行。 | 通常在用户成功通过身份验证后完成。 |
| 认证需要用户的登录详细信息,例如用户名和密码等。 | 授权需要用户的权限或安全级别。 |
| 数据通过令牌 ID 提供。 | 数据通过访问令牌提供。 |
| 认证示例:员工需要输入登录详细信息来验证自己以访问组织电子邮件或软件。 | 示例:员工成功进行身份验证后,他们只能根据其角色和配置文件访问和处理某些功能。 |
| 用户可以根据需要部分更改身份验证凭据。用户不能更改授权权限。 | 权限由系统的所有者/管理员授予用户,他只能更改它。 |
结论
根据上面的讨论,我们可以说 认证(Authentication) 验证用户的身份,而 授权(Authorization) 验证用户的访问和权限。 如果用户不能证明他们的身份,用户就不能访问系统。 如果用户通过证明正确的身份进行了身份验证,但无权执行特定功能,那么用户将无法访问该功能。 但是,这两种安全方法经常一起使用。
欢迎任何形式的转载,但请务必注明出处,尊重他人劳动成果。
转载请注明:文章转载自 有区别网 [http://www.vsdiffer.com]
本文标题:认证与授权的区别
本文链接:https://www.vsdiffer.com/vs/authentication-vs-authorization.html
免责声明:以上内容仅是站长个人看法、理解、学习笔记、总结和研究收藏。不保证其正确性,因使用而带来的风险与本站无关!如本网站内容冒犯了您的权益,请联系站长,邮箱:,我们核实并会尽快处理。