以前一直傻傻分不清各種網(wǎng)際應(yīng)用中 authentication 和 authorization, 其實(shí)很簡(jiǎn)單:

這兩個(gè)術(shù)語(yǔ)通常在安全性方面相互結(jié)合使用，尤其是在獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)限時(shí)。兩者都是非常重要的主題，通常與網(wǎng)絡(luò)相關(guān)聯(lián)，作為其服務(wù)基礎(chǔ)架構(gòu)的關(guān)鍵部分。然而，這兩個(gè)術(shù)語(yǔ)在完全不同的概念上是非常不同的。雖然它們通常使用相同的工具在相同的上下文中使用，但它們彼此完全不同。

身份驗(yàn)證意味著確認(rèn)您自己的身份，而授權(quán)意味著授予對(duì)系統(tǒng)的訪問(wèn)權(quán)限。簡(jiǎn)單來(lái)說(shuō)，身份驗(yàn)證是驗(yàn)證您的身份的過(guò)程，而授權(quán)是驗(yàn)證您有權(quán)訪問(wèn)的過(guò)程。

認(rèn)證

身份驗(yàn)證是關(guān)于驗(yàn)證您的憑據(jù)，如用戶名/用戶ID和密碼，以驗(yàn)證您的身份。系統(tǒng)確定您是否就是您所說(shuō)的使用憑據(jù)。在公共和專(zhuān)用網(wǎng)絡(luò)中，系統(tǒng)通過(guò)登錄密碼驗(yàn)證用戶身份。身份驗(yàn)證通常通過(guò)用戶名和密碼完成，有時(shí)與身份驗(yàn)證因素結(jié)合使用，后者指的是各種身份驗(yàn)證方式。

身份驗(yàn)證因素決定了系統(tǒng)在授予訪問(wèn)文件和請(qǐng)求銀行交易之外的任何內(nèi)容之前驗(yàn)證某人身份的各種要素。用戶的身份可以通過(guò)他所知道的，他擁有的或者他是什么來(lái)確定。在安全性方面，必須至少驗(yàn)證兩個(gè)或所有三個(gè)身份驗(yàn)證因素，以便授予某人訪問(wèn)系統(tǒng)的權(quán)限。

根據(jù)安全級(jí)別，身份驗(yàn)證因素可能與以下之一不同：

單因素 身份驗(yàn)證 - 這是最簡(jiǎn)單的身份驗(yàn)證方法，通常依賴于簡(jiǎn)單的密碼來(lái)授予用戶對(duì)特定系統(tǒng)（如網(wǎng)站或網(wǎng)絡(luò)）的訪問(wèn)權(quán)限。此人可以僅使用其中一個(gè)憑據(jù)請(qǐng)求訪問(wèn)系統(tǒng)以驗(yàn)證其身份。單因素身份驗(yàn)證的最常見(jiàn)示例是登錄憑據(jù)，其僅需要針對(duì)用戶名的密碼。雙因素身份驗(yàn)證 - 顧名思義，它是一個(gè)兩步驗(yàn)證過(guò)程，不僅需要用戶名和密碼，還需要用戶知道的東西，以確保更高級(jí)別的安全性，例如ATM引腳，用戶知道。使用用戶名和密碼以及額外的機(jī)密信息，欺詐者幾乎不可能竊取有價(jià)值的數(shù)據(jù)。多重身份驗(yàn)證 - 這是最先進(jìn)的身份驗(yàn)證方法，它使用來(lái)自獨(dú)立身份驗(yàn)證類(lèi)別的兩個(gè)或更多級(jí)別的安全性來(lái)授予用戶對(duì)系統(tǒng)的訪問(wèn)權(quán)限。所有因素應(yīng)相互獨(dú)立，以消除系統(tǒng)中的任何漏洞。金融機(jī)構(gòu)，銀行和執(zhí)法機(jī)構(gòu)使用多因素身份驗(yàn)證來(lái)保護(hù)其數(shù)據(jù)和應(yīng)用程序免受潛在威脅。

例如，當(dāng)您將ATM卡輸入ATM機(jī)時(shí)，機(jī)器會(huì)要求您輸入您的PIN。在您正確輸入引腳后，銀行會(huì)確認(rèn)您的身份證明該卡真正屬于您，并且您是該卡的合法所有者。通過(guò)驗(yàn)證您的ATM卡引腳，銀行實(shí)際上會(huì)驗(yàn)證您的身份，這稱(chēng)為身份驗(yàn)證。它只是確定你是誰(shuí)，沒(méi)有別的。

授權(quán)

另一方面，授權(quán)發(fā)生在系統(tǒng)成功驗(yàn)證您的身份后，最終會(huì)授予您訪問(wèn)資源（如信息，文件，數(shù)據(jù)庫(kù)，資金，位置，幾乎任何內(nèi)容）的完全權(quán)限。簡(jiǎn)單來(lái)說(shuō)，授權(quán)決定了您訪問(wèn)系統(tǒng)的能力以及達(dá)到的程度。驗(yàn)證成功后，系統(tǒng)驗(yàn)證您的身份后，即可授權(quán)您訪問(wèn)系統(tǒng)資源。

授權(quán)是確定經(jīng)過(guò)身份驗(yàn)證的用戶是否可以訪問(wèn)特定資源的過(guò)程。它驗(yàn)證您是否有權(quán)授予您訪問(wèn)信息，數(shù)據(jù)庫(kù)，文件等資源的權(quán)限。授權(quán)通常在驗(yàn)證后確認(rèn)您的權(quán)限。簡(jiǎn)單來(lái)說(shuō)，就像給予某人官方許可做某事或任何事情。

例如，驗(yàn)證和確認(rèn)組織中的員工ID和密碼的過(guò)程稱(chēng)為身份驗(yàn)證，但確定哪個(gè)員工可以訪問(wèn)哪個(gè)樓層稱(chēng)為授權(quán)。假設(shè)您正在旅行而且即將登機(jī)。當(dāng)您在登記前出示機(jī)票和一些身份證明時(shí)，您會(huì)收到一張登機(jī)牌，證明機(jī)場(chǎng)管理局已對(duì)您的身份進(jìn)行了身份驗(yàn)證。但那不是它。乘務(wù)員必須授權(quán)您登上您應(yīng)該乘坐的航班，讓您可以進(jìn)入飛機(jī)內(nèi)部及其資源。

對(duì)系統(tǒng)的訪問(wèn)受身份驗(yàn)證和授權(quán)的保護(hù)?？梢酝ㄟ^(guò)輸入有效憑證來(lái)驗(yàn)證訪問(wèn)系統(tǒng)的任何嘗試，但只有在成功授權(quán)后才能接受。如果嘗試已通過(guò)身份驗(yàn)證但未獲得授權(quán)，系統(tǒng)將拒絕訪問(wèn)系統(tǒng)。

摘要

雖然這兩個(gè)術(shù)語(yǔ)經(jīng)常相互結(jié)合使用，但它們的概念和含義完全不同。雖然這兩個(gè)概念對(duì)于Web服務(wù)基礎(chǔ)結(jié)構(gòu)至關(guān)重要，特別是在授予對(duì)系統(tǒng)的訪問(wèn)權(quán)限時(shí)，理解關(guān)于安全性的每個(gè)術(shù)語(yǔ)是關(guān)鍵。雖然我們大多數(shù)人將一個(gè)術(shù)語(yǔ)與另一個(gè)術(shù)語(yǔ)混淆，但理解它們之間的關(guān)鍵區(qū)別很重要，實(shí)際上非常簡(jiǎn)單。如果身份驗(yàn)證是您的身份，則授權(quán)是您可以訪問(wèn)和修改的權(quán)限。簡(jiǎn)單來(lái)說(shuō)，身份驗(yàn)證就是確定某人是否是他聲稱(chēng)的人。另一方面，授權(quán)是確定他訪問(wèn)資源的權(quán)利。

舉個(gè)例子來(lái)說(shuō)：

你要登機(jī)，你需要出示你的身份證和機(jī)票，身份證是為了證明你張三確實(shí)是你張三，這就是 authentication；而機(jī)票是為了證明你張三確實(shí)買(mǎi)了票可以上飛機(jī)，這就是 authorization。

在網(wǎng)站認(rèn)證領(lǐng)域再舉個(gè)例子：

你要登陸論壇，輸入用戶名張三，密碼1234，密碼正確，證明你張三確實(shí)是張三，這就是 authentication；再一check用戶張三是個(gè)版主，所以有權(quán)限加精刪別人帖，這就是 authorization。