身份验证和授权之间的区别
作者:
Laura McKinney
创建日期:
1 四月 2021
更新日期:
3 七月 2024
内容
关于信息安全性使用认证和授权,这使得自动化信息系统上的安全性成为可能。这些术语可以互换使用,但有区别。通过身份验证可以确保一个人的身份。另一方面,授权会检查经过身份验证的人具有的访问列表。换句话说,授权包括一个人已授予的权限。
- 比较表
- 定义
- 关键差异
- 结论
比较表
| 比较依据 | 认证方式 | 授权书 |
|---|---|---|
| 基本的 | 检查人员身份以授予对系统的访问权限。 | 检查人员访问资源的特权或权限。 |
| 包括过程 | 验证用户凭据。 | 验证用户权限。 |
| 流程顺序 | 认证是在第一步中执行的。 | 授权通常在身份验证之后执行。 |
| 例子 | 在网上银行应用程序中,首先通过用户ID和密码确定人员的身份。 | 在多用户系统中,管理员决定每个用户具有哪些特权或访问权限。 |
身份验证的定义
认证方式 机制会在泄露敏感信息之前确定用户的身份。对于用户优先考虑保护机密信息的系统或界面而言,这至关重要。在此过程中,用户对个人身份(他或她)或实体的身份提出可证明的主张。
凭证或声明可以是用户名,密码,手指等。身份验证和不可否认性等问题在应用程序层中处理。低效的身份验证机制可能会严重影响服务的可用性。
范例:
例如,有一个将电子文档通过互联网发送给接收方B的系统。系统将如何识别er A已向接收方B发送了专用消息。入侵者C可能会拦截,修改和重播文档,以欺骗或窃取这种类型的攻击信息 制造.
在给定情况下,身份验证机制可确保两件事:首先,它可以确保错误消息的接收者和接收者都是正义的人, 数据来源认证。其次,它借助秘密会话密钥确保er和接收方之间已建立连接的安全性,从而无法推断出该连接,这被称为 对等实体认证.
授权的定义
授权书 技术用于确定授予经过身份验证的用户的权限。简而言之,它检查是否允许用户访问特定资源。授权发生在身份验证之后,在此之前先确定用户的身份,然后通过查找存储在表和数据库中的条目来确定用户的访问列表。
范例:
例如,用户X希望从服务器访问特定文件。用户将向服务器发出请求。服务器将验证用户身份。然后,它找到经过身份验证的用户所具有的相应特权,或者是否允许他/她访问该特定文件。在以下情况下,如果用户有权执行以下操作,则访问权限可以包括查看,修改或删除文件。
- 身份验证用于验证用户身份,以允许访问系统。另一方面,授权确定谁应该能够访问什么。
- 在身份验证过程中,将验证用户凭据,而在授权过程中,将验证通过身份验证的用户的访问列表。
- 前一个过程是身份验证,然后发生授权。
- 让我们以网上银行服务为例。当用户想要访问服务时,将确定用户的身份,以确保该人是他/她声称是的义人。识别用户后,身份验证将启用授权,该授权将确定允许用户执行的操作。在此,用户被授权在认证后在线访问他/她的帐户。
结论
认证和授权是为了保护信息系统中的数据而采取的安全措施。身份验证是验证个人身份接近系统的过程。另一方面,授权是检查个人被授权的特权或访问列表的过程。
