Чим відрізняється аутентифікація від авторизації?
Всім нам знайома процедура входу в власний аккаунт в соцмережі, онлайн-грі або електронною поштою: повідомляємо логін і пароль - отримуємо доступ до особистій сторінці. У Рунеті і локалізованих системах це часто називається авторизацією, що з технічної точки зору в корені невірно: натискання Enter в формі введення запускає два абсолютно різні процеси - аутентифікацію і авторизацію. При виникненні помилок необхідно чітко розуміти, на якому етапі відбувається збій.
визначення
аутентифікація - проходження перевірки автентичності.
авторизація - надання та перевірка прав на вчинення будь-яких дій в системі.
Природно, і аутентифікацію, і авторизацію використовують не тільки в процесі отримання доступу до мережевих акаунтів. Автоматизовані системи, EDI, передача даних, пластикові банківські картки - ми не один раз в день проходимо ці процедури в автоматичному режимі.
В англомовних системах плутанини з термінологією не виникає: користувач взагалі не замислюється, чим відрізняється аутентифікація від авторизації, адже обидві процедури від його очей приховані. Пропонується «увійти в систему» - «log in, logging in».
Різниця між аутентифікацією і авторизацією
Як проходить процедура аутентифікації? Ось якийсь користувач намірився прочитати свіжий спам в своєму електронному поштовому ящику. Він заходить на сайт поштового сервісу, читає рекламу і новини, але ніяких листів йому поки не показують - система не знає ні про його особистості, ні про його наміри. Коли в форму введення логіна і пароля він впише свої «username / qwerty» і відправить цю інформацію, почнеться процес аутентифікації. Система перевірить, чи існує користувач з таким ім`ям, чи збігається введений пароль з його обліковим записом. У багатьох випадках відповідності подібних ідентифікаторів досить, проте сервіси, де безпеку даних в пріоритеті, можуть запитувати і інші відомості: наявність сертифіката, певний IP-адреса або додатковий код верифікації.
Відео: Модуль 58. Авторизація і аутентифікація форм в ASP.NET MVC 5
Пройдена аутентифікація означає, що користувач дійсно той, ким здається. Однак цього мало для надання йому доступу до даних - починається процес авторизації. У випадку з поштовими сервісами клієнти мають рівні права: кожен з них може переглядати листи і документи, редагувати їх і створювати нові. А ось в соціальних мережах або на форумах відвідувачі належать до певної групи, і авторизація допомагає системі визначити, що дозволено Юпітеру і не дозволено бику. Наприклад, у вас немає права писати повідомлення користувачу, який додав вас в чорний спісок- ви не можете додавати в повідомлення посилання на відео, поки не набрали певну кількість постов- ви можете переглядати фотографії людини, що додав вас «в друзі». У локальних системах у облікового запису користувача може не бути доступу до деяких програм, стояти заборона на редагування або копіювання документів.
В процесі авторизації перевіряється наявність прав на конкретні дії у власника аккаунта або учеткі. Це відбувається не тільки під час входу в систему, але і при будь-якій спробі здійснити будь-які маніпуляції з даними. У цьому полягає відмінність аутентифікації від авторизації: перша - процедура одноразова для поточної сесії, другу користувач проходить постійно перед запуском будь-якого процесу.
Запам`ятати, в чому різниця між аутентифікацією і авторизацією, зазвичай дозволяє аналогія з закритими об`єктами промислових комплексів. При вході відвідувач пред`являє посвідчення особи (введення логіна і пароля), а співробітник охорони перевіряє по базі даних, чи можна цю людину впустити. Якщо документ справжній і прізвище є в списку - вхід на територію об`єкта дозволений. Щоб потрапити в лабораторію, потрібен один пропуск, в прес-центр - інший, на вивезення сміття - третій. Служба безпеки перевіряє право на доступ до об`єктів і дозволяє або забороняє персоналу певні дії. Так проходить авторизація.
Відео: 02_ Авторизація і аутентифікація. Налаштування AAA в Linux. RADIUS
Процес аутентифікації запускається користувачем при вході в систему: він надає ідентифікаційні дані, будь то пара логін / пароль, відбиток пальця, встановлений сертифікат, карта і її PIN-код. При цьому можливі помилки з боку клієнта. Авторизація запускається сервером автоматично, якщо аутентифікація завершена успішно, і дії користувача на даний процес не впливають.
Порівняльна таблиця
| аутентифікація | авторизація |
| Процедура перевірки автентичності суб`єкта | Процедура присвоєння та перевірки прав на вчинення певних дій суб`єктом |
| Залежить від наданої користувачем інформації | Чи не залежить від дій клієнта |
| Запускається один раз для поточної сесії | Відбувається при спробі здійснення будь-яких дій користувачем |
