security authorization authentication

security - Autenticación versus autorización



authorization authentication (9)

¿Cuál es la diferencia en el contexto de las aplicaciones web? Veo la abreviatura "auth" mucho. ¿Significa autenticación - autenticación o autenticación ? ¿O es a la vez?

La autenticación es el proceso de determinar que alguien realmente es quien dice ser.

La autorización se refiere a las reglas que determinan a quién se le permite hacer qué. Por ejemplo, Adam puede estar autorizado para crear y eliminar bases de datos, mientras que Usama solo está autorizado para leer.

Los dos conceptos son completamente ortogonales e independientes, pero ambos son fundamentales para el diseño de seguridad, y el hecho de no obtener uno de los dos correctos abre el camino para comprometerse.

En términos de aplicaciones web, de manera muy cruda, la autenticación es cuando verifica las credenciales de inicio de sesión para ver si reconoce que un usuario ha iniciado sesión, y la autorización es cuando busca en su control de acceso si permite que el usuario vea, edite, elimine o crear contenido.

Añadiendo a la respuesta de @Krerek;

La autenticación es un formulario generalizado (todos los empleados pueden iniciar sesión en la máquina)

La autorización es un formulario especializado (pero el administrador solo puede instalar / desinstalar la aplicación en la Máquina)

Como Autenticación vs Autorización lo pone:

La autenticación es el mecanismo mediante el cual los sistemas pueden identificar de forma segura a sus usuarios. Los sistemas de autenticación proporcionan una respuesta a las preguntas:

  • ¿Quién es el usuario?
  • ¿Es realmente el usuario quien se representa a sí mismo?

La autorización , por el contrario, es el mecanismo por el cual un sistema determina qué nivel de acceso debe tener un usuario autenticado particular para asegurar los recursos controlados por el sistema. Por ejemplo, un sistema de gestión de base de datos podría diseñarse para proporcionar a ciertos individuos específicos la capacidad de recuperar información de una base de datos, pero no la capacidad de cambiar los datos almacenados en la base de datos, mientras que otros individuos pueden cambiarlos. Los sistemas de autorización proporcionan respuestas a las preguntas:

  • ¿El usuario X está autorizado para acceder al recurso R?
  • ¿El usuario X está autorizado para realizar la operación P?
  • ¿El usuario X está autorizado para realizar la operación P en el recurso R?

Ver también:

En fin, por favor. :-)

Autenticación = login + contraseña (quién eres)

Autorización = permisos (lo que se le permite hacer)

El "auth" corto es más probable que se refiera al primero o a ambos.

He tratado de crear una imagen para explicar esto con las palabras más simples.

1) Autenticación significa "¿Eres quien dices que eres?"

2) Autorización significa "¿Debería poder hacer lo que está tratando de hacer?".

Esto también se describe en la imagen de abajo.

He tratado de explicarlo en los mejores términos posibles, y he creado una imagen de la misma.

La autenticación es el proceso de verificación de su nombre de usuario y contraseña.

La autorización es el proceso de verificar que se puede acceder a algo.

La confusión es comprensible, ya que las dos palabras suenan similares, y dado que los conceptos a menudo están estrechamente relacionados y se usan juntos. Además, como se mencionó, la abreviatura Auth no ayuda.

Otros ya han descrito bien lo que significan autenticación y autorización. Aquí hay una regla simple para ayudar a mantener a los dos claramente separados:

  • La entidad de autenticación valida su entidad de identificación (o autenticidad , si así lo prefiere)
  • La autorización valida su autoridad, es decir, su derecho a acceder y, posiblemente, a cambiar algo.

Prefiero la verificación y los permisos a la autenticación y autorización.

Es más fácil en mi cabeza y en mi código pensar en "verificación" y "permisos" porque las dos palabras

  • no suena igual
  • no tienen la misma abreviatura

La autenticación es la verificación y la autorización está verificando los permisos. Autentía puede significar cualquiera de las dos, pero se usa más a menudo como "Autenticación del usuario", es decir, "Autenticación del usuario"

La autenticación es el proceso de verificación de la identidad proclamada.

  • por ejemplo, nombre de usuario / contraseña

Por lo general, seguido de la autorización , que es la aprobación que puede hacer esto y aquello.

  • por ejemplo, permisos