security - informatica - ¿Hay alguna diferencia entre autenticación y autorización?

Autenticación se refiere a verificar la identidad de una entidad. La autorización se refiere a lo que una entidad autenticada puede hacer (por ejemplo, permisos de archivos).

Autenticar a un usuario en un sitio web significa que usted verifica que este usuario es un usuario válido, es decir, verifica quién usa el usuario / contraseña o certificados, etc. En términos comunes, ¿se le permite a la persona ingresar al edificio?

La autorización es el proceso de verificar si el usuario tiene derechos / permisos para acceder a ciertos recursos o secciones de un sitio web, por ejemplo, si es un CMS, entonces el usuario está autorizado a cambiar el contenido del sitio web. En términos del escenario de construcción de oficinas, el usuario puede ingresar a la sala de redes de la oficina.

De hecho, hay una diferencia fundamental. La autenticación es el mecanismo mediante el cual los sistemas pueden identificar de forma segura a sus usuarios. Los sistemas de autenticación buscan proporcionar respuestas a las preguntas:

• ¿Quién es el usuario?
• ¿Es realmente el usuario quien se representa a sí mismo?

La autorización, por el contrario, es el mecanismo por el cual un sistema determina qué nivel de acceso debe tener un usuario particular (autenticado) a los recursos controlados por el sistema. Para un ejemplo que puede o no estar relacionado con un escenario basado en la web, un sistema de administración de la base de datos puede diseñarse para proporcionar a ciertas personas específicas la capacidad de recuperar información de una base de datos pero no la capacidad de cambiar los datos almacenados en el base de datos, mientras le da a otras personas la capacidad de cambiar los datos. Los sistemas de autorización brindan respuestas a las preguntas:

• ¿Está autorizado el usuario X para acceder al recurso R?
• ¿El usuario X está autorizado para realizar la operación P?
• ¿Está autorizado el usuario X para realizar la operación P en el recurso R?

Steve Riley ha escrito un essay bastante bueno sobre por qué deben permanecer distintos.

Ejemplo simple en tiempo real, si el estudiante viene a la escuela, entonces el director está revisando Autenticación y autorización. Autenticación: Verifique la tarjeta de identificación del estudiante significa que él o ella pertenecen a nuestra escuela o no. Autorización: Verifique que el estudiante tenga permiso para sentarse en el Laboratorio de Programación de Computadora o no.

El punto principal es:

• La autenticación se ocupa de la validación de la cuenta de usuario. ¿Es este un usuario válido? ¿Este usuario está registrado en nuestra aplicación? eg: Iniciar sesión
• La autorización se refiere a la validación del acceso del usuario a determinada función. ¿Este usuario tiene la autorización / derecho de acceder a esta función? Ej .: Reclamos, Roles

En mi experiencia, Autenticación generalmente se refiere a un proceso más técnico, es decir, Autenticación de un usuario (verificando credenciales de inicio de sesión / contraseña, certificados, etc.), mientras que la Autorización se usa más en la Lógica empresarial de una aplicación.

Por ejemplo, en una aplicación, un usuario puede iniciar sesión y autenticarse, pero no está autorizado para realizar ciertas funciones.

Intenté crear una imagen para explicar esto en las palabras más simples

1) Autenticación significa "¿Eres tú quien dices ser?"

2) La autorización significa "¿Debería poder hacer lo que está tratando de hacer?".

Esto también se describe en la imagen a continuación.

La autenticación verifica quién es usted y la Autorización verifica lo que está autorizado a hacer. Por ejemplo, puede iniciar sesión en su servidor Unix a través del cliente ssh, pero no tiene autorización para el navegador / datos2 o cualquier otro sistema de archivos. La autorización ocurre después de la autenticación exitosa.

La autenticación verifica quién es usted y la Autorización verifica lo que está autorizado a hacer. Por ejemplo, puede iniciar sesión en su servidor Unix a través del cliente ssh, pero no tiene autorización para el navegador / datos2 o cualquier otro sistema de archivos. La autorización se produce después de la autenticación exitosa ........

La autorización es un proceso mediante el cual el servidor determina si el cliente tiene permiso para usar un recurso o un archivo de acceso.

La autenticación es utilizada por un servidor cuando el servidor necesita saber exactamente quién está accediendo a su información o sitio.

Si puedo iniciar sesión, mis credenciales están verificadas y estoy AUTENTICADO. Si puedo realizar una tarea en particular, estoy AUTORIZADO para hacerlo.

Autenticación:

La autenticación es el proceso de verificar la identidad de un usuario al obtener algún tipo de credenciales y usar esas credenciales para verificar la identidad del usuario. Si las credenciales son válidas, se inicia el proceso de autorización. El proceso de autenticación siempre procede al proceso de Autorización.

Autorización:

La autorización es el proceso de permitir que los usuarios autenticados accedan a los recursos al verificar si el usuario tiene derechos de acceso al sistema. La autorización le ayuda a controlar los derechos de acceso otorgando o denegando permisos específicos a un usuario autenticado.

Autenticación: verificar quién es un usuario.

Para autenticarse, el usuario proporciona información de credenciales, como un nombre de usuario y una contraseña, y si las credenciales son válidas, el usuario recibe un token que se puede enviar con futuras solicitudes como verificación de su autenticación.

Autorización: determinar lo que un usuario puede hacer.

Desde la perspectiva del usuario, una autorización exitosa se lleva a cabo cuando puede enviar una solicitud para acceder a un sistema y hacer algo (como cargar un archivo en el sistema) y funciona.

La autenticación solo verifica la identidad: confirma que el usuario es quien dice ser. La autorización determina a qué recursos puede acceder un usuario verificado.