it-swarm-es.com

Autenticación versus autorización

¿Cuál es la diferencia en el contexto de las aplicaciones web? Veo la abreviatura "auth" mucho. ¿Significa para auth - entication o auth - orization? ¿O es a la vez?

549
daGrevis

Autenticación es el proceso de determinar que alguien realmente es quien dice ser.

Autorización se refiere a las reglas que determinan a quién se le permite hacer qué. P.ej. Adam puede estar autorizado para crear y eliminar bases de datos, mientras que Usama solo está autorizado para leer.

Los dos conceptos son completamente ortogonales e independientes, pero ambos son fundamentales para el diseño de seguridad, y el hecho de no obtener uno de los dos correctos abre el camino para comprometerse.

En términos de aplicaciones web, de manera muy cruda, la autenticación es cuando verifica las credenciales de inicio de sesión para ver si reconoce que un usuario ha iniciado sesión, y la autorización es cuando busca en su control de acceso si permite que el usuario vea, edite, elimine o crear contenido.

773
Kerrek SB

En fin, por favor. :-)

Autenticación = inicio de sesión + contraseña (quién eres)

Autorización = permisos (lo que se le permite hacer)

El "auth" corto es más probable que se refiera al primero o a ambos.

615
Geo

Como Autenticación vs Autorización lo pone:

Autenticación es el mecanismo por el cual los sistemas pueden identificar de forma segura a sus usuarios. Los sistemas de autenticación proporcionan una respuesta a las preguntas:

  • ¿Quién es el usuario?
  • ¿Es realmente el usuario quien se representa a sí mismo?

Autorización , por el contrario, es el mecanismo por el cual un sistema determina qué nivel de acceso debe tener un usuario autenticado particular para asegurar los recursos controlados por el sistema. Por ejemplo, un sistema de administración de bases de datos podría diseñarse para proporcionar a ciertos individuos específicos la capacidad de recuperar información de una base de datos, pero no la capacidad de cambiar los datos almacenados en la base de datos, al tiempo que brinda a otros individuos la capacidad de cambiarlos. Los sistemas de autorización proporcionan respuestas a las preguntas:

  • ¿El usuario X está autorizado para acceder al recurso R?
  • ¿El usuario X está autorizado para realizar la operación P?
  • ¿Está el usuario X autorizado para realizar la operación P en el recurso R?

Ver también:

Prefiero Verificación y Permisos a Autenticación y Autorización.

Es más fácil en mi cabeza y en mi código pensar en "verificación" y "permisos" porque las dos palabras

  • no suena igual
  • no tienen la misma abreviatura

La autenticación es la verificación y la autorización está verificando los permisos. Autentismo puede significar cualquiera de los dos, pero se usa más a menudo como "Autenticación del usuario", es decir, "Autenticación del usuario"

28
Aditya Mittal

La confusión es comprensible, ya que las dos palabras suenan similares, y dado que los conceptos a menudo están estrechamente relacionados y se usan juntos. Además, como se mencionó, la abreviatura Auth no ayuda.

Otros ya han descrito bien lo que significa autenticación y autorización. Aquí hay una regla simple para ayudar a mantener a los dos claramente separados:

  • Auth enti cation valida tu Id enti ty (o autenticidad , si lo prefieres)
  • AutorLa validación valida su autorcondición, es decir, su derecho a acceder y posiblemente cambiar algo.
9
Kjartan

He intentado crear una imagen para explicar esto con las palabras más simples.

1) Autenticación significa "¿Eres quien dices que eres?"

2) Autorización significa "¿Debería poder hacer lo que está tratando de hacer?".

Esto también se describe en la imagen de abajo.

 enter image description here

He tratado de explicarlo en los mejores términos posibles, y he creado una imagen de la misma.

7
Rohit Ailani

Autenticación es el proceso de verificación de la identidad proclamada.

  • por ejemplo nombre de usuario/contraseña

Por lo general, seguido de autorización , que es la aprobación que puede hacer esto y aquello.

  • por ejemplo permisos
3
Jakub Truhlář

Añadiendo a la respuesta de @Krerek;

La autenticación es un formulario generalizado (todos los empleados pueden iniciar sesión en la máquina)

La autorización es un formulario especializado (pero el administrador solo puede instalar/desinstalar la aplicación en la Máquina)

2
Boobalan

La autenticación es el proceso de verificación de su nombre de usuario y contraseña.

La autorización es el proceso de verificar que se puede acceder a algo.

2
Sovichea Cheth