前言:身份验证与授权是网站开发比不可能绕开的话题,有趣的是,这两个单词的英文字母其实是很相似的,authentication and authorization,那么这两者到底有什么不同呢,下面翻译的是medium中的一篇文章。
今天,我将讨论大多数人容易混淆的两个主题,验证与授权。当涉及到网站安全性和访问权的问题时,这两个术语经常相互结合使用。这两个术语都是网站开发非常基础的关键部分,联系十分紧密,但是,在某一角度来看这两个术语其实是完全不同的。现在您想知道这些术语是什么,以及它们为什么被称为身份验证和授权。身份验证意味着确认您自己的身份,而授权意味着被允许访问系统。 用更简单的术语来说,身份验证是验证自己的过程,而授权是验证您可以访问的内容的过程。
认证
身份验证是通过验证您的凭据(例如用户名/用户ID和密码)以验证身份。然后,系统将检查您是否正在使用您的凭据。无论在公共网络还是专用网络中,系统都通过登录密码对用户身份进行身份验证。通常,身份验证是通过用户名和密码完成的,当然还有如今被广泛应用的auth服务,以及一些第三方的auth服务商。
身份验证因素决定了系统在允许个人访问任何东西之前,一定要验证该人是否有权限访问。一个人的身份可以由该人所知道的信息来确定,并且涉及安全性时,必须验证至少两个或所有三个认证因素,以便向某人授予对系统的许可。根据安全级别,身份验证因素可能与以下其中一项有所不同:
- 单因素身份验证:这是身份验证方法的最简单形式,它要求使用密码来授予用户访问特定系统(例如网站或网络)的权限。该人仅可以使用一个凭证来请求访问系统以验证一个人的身份。例如,仅要求针对用户名的密码将是使用单因素身份验证来验证登录凭据的方法。
- 两因素身份验证:此身份验证需要两步验证过程,该过程不仅需要用户名和密码,而且还需要用户知道的一条信息。使用用户名和密码以及机密信息会使黑客更难于窃取有价值的个人数据。
- 多因素身份验证:这是最先进的身份验证方法,需要独立身份验证类别中的两个或多个安全级别,才能授予用户对系统的访问权限。这种认证形式利用了彼此独立的因素,以消除任何数据泄露。金融组织,银行和执法机构通常使用多因素身份验证
授权
授权是在系统成功验证您的身份之后进行的,因此,您可以完全访问资源,如信息,文件,数据库,资金等。但是,授权仅在确定访问能力之后,才验证您授予资源访问权限的权限系统和达到什么程度。换句话说,授权是确定经过身份验证的用户是否有权访问特定资源的过程。举个例子,一旦通过身份验证确认并确认了员工ID和密码,下一步就是确定哪个员工可以访问哪个楼层,而这是通过授权来完成的。
对系统的访问必须要使用身份验证和保护授权,并且两者经常相互结合使用。尽管两者背后都有不同的概念,但它们对于Web服务基础结构至关重要,尤其是在被授予对系统的访问权限时。了解每个术语非常重要,特别是涉及到系统安全问题时。
