认证 (authentication) 和受权 (authorization) 的区别
之前一直傻傻分不清各类网际应用中 authentication 和 authorization, 其实很简单:数据库
这两个术语一般在安全性方面相互结合使用,尤为是在得到对系统的访问权限时。二者都是很是重要的主题,一般与网络相关联,做为其服务基础架构的关键部分。然而,这两个术语在彻底不一样的概念上是很是不一样的。虽然它们一般使用相同的工具在相同的上下文中使用,但它们彼此彻底不一样。安全
身份验证意味着确认您本身的身份,而受权意味着授予对系统的访问权限。简单来讲,身份验证是验证您的身份的过程,而受权是验证您有权访问的过程。网络
认证
身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。系统肯定您是否就是您所说的使用凭据。在公共和专用网络中,系统经过登陆密码验证用户身份。身份验证一般经过用户名和密码完成,有时与身份验证因素结合使用,后者指的是各类身份验证方式。架构
身份验证因素决定了系统在授予访问文件和请求银行交易以外的任何内容以前验证某人身份的各类要素。用户的身份能够经过他所知道的,他拥有的或者他是什么来肯定。在安全性方面,必须至少验证两个或全部三个身份验证因素,以便授予某人访问系统的权限。工具
根据安全级别,身份验证因素可能与如下之一不一样:网站
- 单因素 身份验证 - 这是最简单的身份验证方法,一般依赖于简单的密码来授予用户对特定系统(如网站或网络)的访问权限。此人能够仅使用其中一个凭据请求访问系统以验证其身份。单因素身份验证的最多见示例是登陆凭据,其仅须要针对用户名的密码。
- 双因素身份验证 - 顾名思义,它是一个两步验证过程,不只须要用户名和密码,还须要用户知道的东西,以确保更高级别的安全性,例如ATM引脚,用户知道。使用用户名和密码以及额外的机密信息,欺诈者几乎不可能窃取有价值的数据。
- 多重身份验证 - 这是最早进的身份验证方法,它使用来自独立身份验证类别的两个或更多级别的安全性来授予用户对系统的访问权限。全部因素应相互独立,以消除系统中的任何漏洞。金融机构,银行和执法机构使用多因素身份验证来保护其数据和应用程序免受潜在威胁。
例如,当您将ATM卡输入ATM机时,机器会要求您输入您的PIN。在您正确输入引脚后,银行会确认您的身份证实该卡真正属于您,而且您是该卡的合法全部者。经过验证您的ATM卡引脚,银行实际上会验证您的身份,这称为身份验证。它只是肯定你是谁,没有别的。spa
受权
另外一方面,受权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的彻底权限。简单来讲,受权决定了您访问系统的能力以及达到的程度。验证成功后,系统验证您的身份后,便可受权您访问系统资源。3d
受权是肯定通过身份验证的用户是否能够访问特定资源的过程。它验证您是否有权授予您访问信息,数据库,文件等资源的权限。受权一般在验证后确认您的权限。简单来讲,就像给予某人官方许可作某事或任何事情。blog
例如,验证和确认组织中的员工ID和密码的过程称为身份验证,但肯定哪一个员工能够访问哪一个楼层称为受权。假设您正在旅行并且即将登机。当您在登记前出示机票和一些身份证实时,您会收到一张登机牌,证实机场管理局已对您的身份进行了身份验证。但那不是它。乘务员必须受权您登上您应该乘坐的航班,让您能够进入飞机内部及其资源。ci
对系统的访问受身份验证和受权的保护。能够经过输入有效凭证来验证访问系统的任未尝试,但只有在成功受权后才能接受。若是尝试已经过身份验证但未得到受权,系统将拒绝访问系统。
| 认证 | 受权 |
| 身份验证确认您的身份以授予对系统的访问权限。 | 受权肯定您是否有权访问资源。 |
| 这是验证用户凭据以得到用户访问权限的过程。 | 这是验证是否容许访问的过程。 |
| 它决定用户是不是他声称的用户。 | 它肯定用户能够访问和不访问的内容。 |
| 身份验证一般须要用户名和密码。 | 受权所需的身份验证因素可能有所不一样,具体取决于安全级别。 |
| 身份验证是受权的第一步,所以始终是第一步。 | 受权在成功验证后完成。 |
| 例如,特定大学的学生在访问大学官方网站的学生连接以前须要进行身份验证。这称为身份验证。 | 例如,受权肯定成功验证后学生有权在大学网站上访问哪些信息。 |
摘要
虽然这两个术语常常相互结合使用,但它们的概念和含义彻底不一样。虽然这两个概念对于Web服务基础结构相当重要,特别是在授予对系统的访问权限时,理解关于安全性的每一个术语是关键。虽然咱们大多数人将一个术语与另外一个术语混淆,但理解它们之间的关键区别很重要,实际上很是简单。若是身份验证是您的身份,则受权是您能够访问和修改的权限。简单来讲,身份验证就是肯定某人是不是他声称的人。另外一方面,受权是肯定他访问资源的权利。
举个例子来讲:
你要登机,你须要出示你的身份证和机票,身份证是为了证实你张三确实是你张三,这就是 authentication;而机票是为了证实你张三确实买了票能够上飞机,这就是 authorization。 在网站认证领域再举个例子: 你要登录论坛,输入用户名张三,密码1234,密码正确,证实你张三确实是张三,这就是 authentication;再一check用户张三是个版主,因此有权限加精删别人帖,这就是 authorization。
- 1. 认证 (authentication) 和受权 (authorization) 的区别
- 2. 认证 (authentication) 和授权 (authorization) 的区别
- 3. 【转】认证 (authentication) 和受权 (authorization) 的区别
- 4. mongodb的认证(authentication)与受权(authorization)
- 5. Web APi之认证(Authentication)及受权(Authorization)【一】(十二)
- 6. [转]Web APi之认证(Authentication)及受权(Authorization)【一】(十二)
- 7. MongoDB安全的3A -- 认证(Authentication)、授权(Authorization)和审计(Audit
- 8. 权限认证基础:区分Authentication,Authorization以及Cookie、Session、Token
- 9. JAAS Java Authentication Authorization Service Java验证和受权API
- 10. Asp.net Core认证和受权:Cookie认证
- 更多相关文章...
- • Rust 所有权 - RUST 教程
- • Git 工作区、暂存区和版本库 - Git 教程
- • 适用于PHP初学者的学习线路和建议
- • TiDB 在摩拜单车在线数据业务的应用和实践
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. vs2019运行opencv图片显示代码时,窗口乱码
- 2. app自动化 - 元素定位不到?别慌,看完你就能解决
- 3. 在Win8下用cisco ××× Client连接时报Reason 422错误的解决方法
- 4. eclipse快速补全代码
- 5. Eclipse中Java/Html/Css/Jsp/JavaScript等代码的格式化
- 6. idea+spring boot +mabitys(wanglezapin)+mysql (1)
- 7. 勒索病毒发生变种 新文件名将带有“.UIWIX”后缀
- 8. 【原创】Python 源文件编码解读
- 9. iOS9企业部署分发问题深入了解与解决
- 10. 安装pytorch报错CondaHTTPError:******
- 1. 认证 (authentication) 和受权 (authorization) 的区别
- 2. 认证 (authentication) 和授权 (authorization) 的区别
- 3. 【转】认证 (authentication) 和受权 (authorization) 的区别
- 4. mongodb的认证(authentication)与受权(authorization)
- 5. Web APi之认证(Authentication)及受权(Authorization)【一】(十二)
- 6. [转]Web APi之认证(Authentication)及受权(Authorization)【一】(十二)
- 7. MongoDB安全的3A -- 认证(Authentication)、授权(Authorization)和审计(Audit
- 8. 权限认证基础:区分Authentication,Authorization以及Cookie、Session、Token
- 9. JAAS Java Authentication Authorization Service Java验证和受权API
- 10. Asp.net Core认证和受权:Cookie认证