web-dev-qa-db-fra.com

Authentification versus autorisation

Quelle est la différence dans le contexte des applications Web? Je vois beaucoup l'abréviation "auth". Est-ce que cela signifie auth - entication ou auth - orization? Ou est-ce les deux?

securityauthorizationauthentication
573
daGrevis

Authentification est le processus permettant de s'assurer que quelqu'un est vraiment ce qu'il prétend être.

Autorisation fait référence à des règles qui déterminent qui est autorisé à faire quoi. Par exemple. Adam peut être autorisé à créer et à supprimer des bases de données, alors qu'Usama est uniquement autorisé à lire.

Les deux concepts sont complètement orthogonaux et indépendants, mais les deux sont au cœur de la conception de la sécurité, et le fait de ne pas en corriger l'un ou l'autre ouvre la voie au compromis.

En termes d'applications Web, de manière très grossière, l'authentification consiste à vérifier les informations d'identification de connexion pour savoir si vous reconnaissez un utilisateur connecté, et l'autorisation apparaît lorsque vous recherchez dans votre contrôle d'accès si vous lui permettez d'afficher, de modifier, de supprimer ou créer du contenu.

801
Kerrek SB

En bref, s'il vous plait. :-)

Authentification = login + mot de passe (qui vous êtes)

Autorisation = permissions (ce que vous êtes autorisé à faire)

"Auth" court est le plus susceptible de faire référence à la première ou aux deux.

629
Geo

Comme Authentification vs Autorisation le dit:

L'authentification est le mécanisme par lequel les systèmes peuvent identifier en toute sécurité leurs utilisateurs. Les systèmes d'authentification apportent une réponse aux questions suivantes:

  • Qui est l'utilisateur?
  • Est-ce que l'utilisateur est vraiment ce qu'il/elle se représente?

L'autorisation , en revanche, est le mécanisme par lequel un système détermine le niveau d'accès qu'un utilisateur authentifié devrait avoir pour sécuriser des ressources contrôlées par le système. Par exemple, un système de gestion de base de données peut être conçu de manière à permettre à certaines personnes spécifiées de récupérer des informations d’une base de données, mais pas de modifier les données stockées dans la base de données, tout en donnant à d’autres personnes la possibilité de les modifier. Les systèmes d'autorisation apportent des réponses aux questions suivantes:

  • L'utilisateur X est-il autorisé à accéder à la ressource R?
  • L'utilisateur X est-il autorisé à effectuer l'opération P?
  • L'utilisateur X est-il autorisé à exécuter l'opération P sur la ressource R?

Voir également:

78
Sebastian Paaske Tørholm

Je préfère vérification et autorisations à l'authentification et l'autorisation.

Il est plus facile dans ma tête et dans mon code de penser à "vérification" et "autorisations" car les deux mots

  • ne sonne pas pareil
  • ne pas avoir la même abréviation

L'authentification est une vérification et l'autorisation vérifie une ou plusieurs autorisations. Auth peut signifier l'un ou l'autre, mais est utilisé plus souvent comme "Auth utilisateur", c'est-à-dire "Authentification utilisateur".

32
Aditya Mittal

La confusion est compréhensible, car les deux mots semblent similaires et les concepts sont souvent étroitement liés et utilisés ensemble. En outre, comme mentionné, l'abréviation Auth n'aide pas.

D'autres ont déjà bien décrit ce que signifient authentification et autorisation. Voici une règle simple pour vous aider à séparer clairement les deux:

  • Auth enti cation valide votre Id enti ty (ou authenticité , si vous préférez cela)
  • Auteur ization valide votre auteur ity, c'est-à-dire votre droit d'accès et éventuellement de modification.
11
Kjartan

J'ai essayé de créer une image pour expliquer cela avec les mots les plus simples.

1) L’authentification signifie "Êtes-vous qui vous dites que vous êtes?"

2) L'autorisation signifie "Si vous êtes capable de faire ce que vous essayez de faire?".

Ceci est également décrit dans l'image ci-dessous.

enter image description here

J'ai essayé de l'expliquer dans les meilleurs termes possibles et de créer une image identique.

10
Rohit Ailani

Authentification est le processus de vérification de l'identité proclamée.

  • par ex. nom d'utilisateur/mot de passe

Généralement suivi de autorisation, qui est l’approbation permettant de faire ceci ou cela.

  • par ex. autorisations
3
Jakub Truhlář

Ajout à la réponse de @ Kerrek;

L'authentification est sous forme généralisée (tous les employés peuvent se connecter à la machine)

L'autorisation est sous forme spécialisée (mais seul l'administrateur peut installer/désinstaller l'application dans Machine)

2
Boobalan

L'authentification est le processus de vérification de votre nom d'utilisateur et mot de passe de connexion.

L'autorisation est le processus permettant de vérifier que vous pouvez accéder à quelque chose.

2
Sovichea Cheth

Authentication signifie confirmer votre propre identité. L'authentification consiste à valider vos informations d'identification telles que Nom d'utilisateur/ID utilisateur et mot de passe pour vérifier votre identité. Le système vérifie ensuite si vous êtes ce que vous dites utiliser vos informations d'identification. Que ce soit dans des réseaux publics ou privés, le système authentifie l'identité de l'utilisateur à l'aide de mots de passe de connexion. En règle générale, l'authentification est effectuée à l'aide d'un nom d'utilisateur et d'un mot de passe, bien qu'il existe d'autres moyens de s'authentifier.

Authorization signifie être autorisé à accéder au système. autorisation est le processus permettant de déterminer si l'utilisateur authentifié a accès aux ressources particulières.

enter image description here

Lire la suite ici

0
yoAlex5