it-swarm.com.de

Authentifizierung versus Autorisierung

Was ist der Unterschied im Kontext von Webanwendungen? Ich sehe die Abkürzung "auth" oft. Steht es für auth - entication oder auth - orization? Oder ist es beides?

573
daGrevis

Authentifizierung ist der Prozess der Feststellung, dass jemand wirklich der ist, für den er sich ausgibt.

Autorisierung bezieht sich auf Regeln, die festlegen, wer was darf. Z.B. Adam ist möglicherweise berechtigt, Datenbanken zu erstellen und zu löschen, während Usama nur zum Lesen berechtigt ist.

Die beiden Konzepte sind vollständig orthogonal und unabhängig, aber beide sind für das Sicherheitsdesign von zentraler Bedeutung, und das Versäumnis, eines der beiden Konzepte richtig zu machen, eröffnet die Möglichkeit, Kompromisse einzugehen.

In Bezug auf Web-Apps bedeutet Authentifizierung, dass Sie die Anmeldeinformationen überprüfen, um festzustellen, ob Sie einen Benutzer als angemeldet erkennen. Die Autorisierung erfolgt, wenn Sie in Ihrer Zugriffssteuerung nachschlagen, ob Sie dem Benutzer das Anzeigen, Bearbeiten und Löschen erlauben oder erstellen Sie Inhalte.

801
Kerrek SB

Kurz gesagt, bitte. :-)

Authentifizierung = Login + Passwort (wer du bist)

Autorisierung = Berechtigungen (was Sie dürfen)

Ein kurzes "auth" bezieht sich höchstwahrscheinlich entweder auf das erste oder auf beide.

629
Geo

Wie Authentifizierung vs Autorisierung sagt es:

Authentifizierung ist der Mechanismus, mit dem Systeme ihre Benutzer sicher identifizieren können. Authentifizierungssysteme geben Antworten auf die Fragen:

  • Wer ist der Benutzer?
  • Ist der Benutzer wirklich der, für den er sich darstellt?

Die Autorisierung ist dagegen der Mechanismus, mit dem ein System bestimmt, welche Zugriffsebene ein bestimmter authentifizierter Benutzer für die Sicherung der vom System kontrollierten Ressourcen haben soll. Beispielsweise kann ein Datenbankverwaltungssystem so konzipiert sein, dass bestimmte angegebene Personen Informationen aus einer Datenbank abrufen können, jedoch nicht die in der Datenbank gespeicherten Daten ändern können, während andere Personen die Möglichkeit haben, Daten zu ändern. Berechtigungssysteme geben Antworten auf die Fragen:

  • Ist Benutzer X berechtigt, auf Ressource R zuzugreifen?
  • Ist Benutzer X berechtigt, die Operation P auszuführen?
  • Ist Benutzer X berechtigt, Operation P an Ressource R auszuführen?

Siehe auch:

Ich bevorzuge Überprüfung und Berechtigungen gegenüber Authentifizierung und Autorisierung.

Es ist in meinem Kopf und in meinem Code einfacher, an "Überprüfung" und "Berechtigungen" zu denken, weil die beiden Wörter

  • klingt nicht gleich
  • habe nicht die gleiche Abkürzung

Bei der Authentifizierung handelt es sich um eine Überprüfung, und die Autorisierung überprüft die Berechtigungen. Authentifizierung kann beides bedeuten, wird jedoch häufiger als "Benutzerauthentifizierung" verwendet, d. H. "Benutzerauthentifizierung".

32
Aditya Mittal

Die Verwirrung ist verständlich, da die beiden Wörter ähnlich klingen und die Konzepte oft eng miteinander verwandt und verwendet werden. Wie bereits erwähnt, hilft auch die Abkürzung Auth nicht.

Andere haben bereits gut beschrieben, was Authentifizierung und Autorisierung bedeuten. Hier ist eine einfache Regel, um die beiden deutlich voneinander zu trennen:

  • Auth enti Kation validiert Ihre ID enti Ty (oder Authentizität , wenn Sie das vorziehen)
  • Author ization validiert Ihre Author ity, d. H. Ihr Recht, auf etwas zuzugreifen und möglicherweise etwas zu ändern.
11
Kjartan

Ich habe versucht, ein Bild zu erstellen, um dies mit den einfachsten Worten zu erklären

1) Authentifizierung bedeutet "Bist du der, von dem du sagst, dass du bist?"

2) Autorisierung bedeutet "Sollten Sie in der Lage sein, das zu tun, was Sie versuchen zu tun?".

Dies ist auch in der Abbildung unten beschrieben.

enter image description here

Ich habe versucht, es so gut wie möglich zu erklären und ein Bild davon geschaffen.

10
Rohit Ailani

Authentifizierung ist der Prozess der Überprüfung der proklamierten Identität.

  • z. Benutzername/Passwort

In der Regel gefolgt von Autorisierung. Dies ist die Bestätigung, dass Sie dies und das tun können.

  • z. Berechtigungen
3
Jakub Truhlář

Hinzufügen zu @ Kerreks Antwort;

Die Authentifizierung erfolgt in verallgemeinerter Form (alle Mitarbeiter können sich am Computer anmelden)

Die Autorisierung ist spezialisiert (aber der Administrator kann die Anwendung nur auf dem Computer installieren/deinstallieren)

2
Boobalan

Bei der Authentifizierung werden Ihr Anmeldename und Ihr Kennwort überprüft.

Bei der Autorisierung wird überprüft, ob Sie auf etwas zugreifen können.

2
Sovichea Cheth

Authentication bedeutet die Bestätigung Ihrer eigenen Identität. Bei der Authentifizierung werden Ihre Anmeldeinformationen wie Benutzername/Benutzer-ID und Kennwort überprüft, um Ihre Identität zu überprüfen. Das System prüft dann, ob Sie Ihre Anmeldeinformationen verwenden. Ob in öffentlichen oder privaten Netzwerken, das System authentifiziert die Benutzeridentität mithilfe von Anmeldekennwörtern. Normalerweise erfolgt die Authentifizierung über einen Benutzernamen und ein Kennwort. Es gibt jedoch auch verschiedene andere Möglichkeiten, sich zu authentifizieren.

Authorization bedeutet, Zugriff auf das System zu haben. Bei der Autorisierung wird ermittelt, ob der authentifizierte Benutzer Zugriff auf die jeweiligen Ressourcen hat.

enter image description here

Lesen Sie mehr hier

0
yoAlex5