Y a-t-il une différence entre l'authentification et l'autorisation?

Je vois ces deux termes un peu bandés (en particulier dans les scénarios Web, mais je suppose que ce n'est pas limité à cela) et je me demandais s'il y avait une différence ou non.

Il me semble qu'ils signifient tous les deux que vous êtes autorisé à faire ce que vous faites. Est-ce donc juste une question de nomenclature, ou y a-t-il une différence fondamentale de sens?

Il y a en effet une différence fondamentale. L'authentification est le mécanisme par lequel les systèmes peuvent identifier en toute sécurité leurs utilisateurs. Les systèmes d'authentification cherchent à apporter des réponses aux questions:

• Qui est l'utilisateur?
• L'utilisateur est-il vraiment celui qu'il prétend / représente?

L'autorisation, en revanche, est le mécanisme par lequel un système détermine le niveau d'accès qu'un utilisateur particulier (authentifié) devrait avoir aux ressources contrôlées par le système. Pour un exemple qui peut ou non être lié à un scénario basé sur le Web, un système de gestion de base de données peut être conçu de manière à fournir à certaines personnes spécifiées la possibilité de récupérer des informations à partir d'une base de données mais pas la possibilité de modifier les données stockées dans le base de données, tout en donnant à d’autres personnes la possibilité de modifier les données. Les systèmes d'autorisation fournissent des réponses aux questions:

• L'utilisateur X est-il autorisé à accéder à la ressource R?
• L'utilisateur X est-il autorisé à effectuer l'opération P?
• L'utilisateur X est-il autorisé à effectuer l'opération P sur la ressource R?

Steve Riley a écrit un très bon essai sur les raisons pour lesquelles ils doivent rester distincts.

L'authentification fait référence à la vérification de l'identité d'une entité. L'autorisation traite de ce qu'une entité authentifiée est autorisée à faire (par exemple, les autorisations de fichier).

Le point principal est:

• L'authentification concerne la validation du compte utilisateur. Est-ce un utilisateur valide? Cet utilisateur est-il enregistré dans notre application ?. par exemple: Connexion
• L'autorisation concerne la validation de l'accès des utilisateurs à certaines fonctionnalités. Cet utilisateur a-t-il l'autorisation / le droit d'accéder à cette fonctionnalité? Par exemple: revendications, rôles

Authentification:

L'authentification est le processus de vérification de l'identité d'un utilisateur en obtenant une sorte d'informations d'identification et en utilisant ces informations d'identification pour vérifier l'identité de l'utilisateur. Si les informations d'identification sont valides, le processus d'autorisation démarre. Le processus d'authentification passe toujours au processus d'autorisation.

Autorisation:

L'autorisation est le processus permettant à un utilisateur authentifié d'accéder aux ressources en vérifiant si l'utilisateur a des droits d'accès au système. L'autorisation vous aide à contrôler les droits d'accès en accordant ou en refusant des autorisations spécifiques à un utilisateur authentifié.

D'après mon expérience, l'authentification fait généralement référence au processus plus technique, c'est-à-dire l'authentification d'un utilisateur (en vérifiant les identifiants de connexion / mot de passe, les certificats, etc.), alors que l'autorisation est davantage utilisée dans la logique métier d'une application.

Par exemple, dans une application, un utilisateur peut se connecter et être authentifié, mais pas autorisé à exécuter certaines fonctions.

Authentifier un utilisateur sur un site Web signifie que vous vérifiez que cet utilisateur est un utilisateur valide, c'est-à-dire que l'utilisateur utilise son nom d'utilisateur / mot de passe ou des certificats, etc. En termes courants, la personne est-elle autorisée à entrer dans le bâtiment?

L'autorisation est le processus de vérification si l'utilisateur dispose des droits / autorisations pour accéder à certaines ressources ou sections d'un site Web, par exemple, s'il s'agit d'un CMS, l'utilisateur est alors autorisé à modifier le contenu du site Web. En termes de scénario d'immeuble de bureaux, l'utilisateur est-il autorisé à entrer dans la salle des réseaux du bureau.

Si je peux me connecter, mes informations d'identification sont vérifiées et je suis AUTHENTIFIÉ. Si je peux effectuer une tâche particulière, je suis AUTORISÉ à le faire.

L'authentification vérifie qui vous êtes et l'autorisation vérifie ce que vous êtes autorisé à faire. Par exemple, vous êtes autorisé à vous connecter à votre serveur Unix via le client ssh, mais vous n'êtes pas autorisé à naviguer / data2 ou à tout autre système de fichiers. L'autorisation se produit après une authentification réussie ........

L'authentification vérifie qui vous êtes et l'autorisation vérifie ce que vous êtes autorisé à faire. Par exemple, vous êtes autorisé à vous connecter à votre serveur Unix via le client ssh, mais vous n'êtes pas autorisé à naviguer / data2 ou à tout autre système de fichiers. L'autorisation se produit après une authentification réussie.

Authentification: vérifier qui est un utilisateur.

Pour s'authentifier, l'utilisateur fournit des informations d'identification telles qu'un nom d'utilisateur et un mot de passe et si les informations d'identification sont valides, l'utilisateur reçoit un jeton qui peut être envoyé avec de futures demandes comme vérification de son authentification.

Autorisation: déterminer ce qu'un utilisateur est autorisé à faire.

Du point de vue de l'utilisateur, une autorisation réussie a lieu lorsqu'elle est capable d'envoyer une demande d'accès à un système et de faire quelque chose (comme télécharger un fichier dans le système) et cela fonctionne.

L'authentification vérifie uniquement l'identité - elle confirme qu'un utilisateur est bien celui qu'il prétend être. L'autorisation détermine les ressources auxquelles un utilisateur vérifié peut accéder.

Authentification

L'authentification vérifie qui vous êtes. Par exemple, vous pouvez vous connecter à votre serveur à l'aide du client ssh ou accéder à votre serveur de messagerie à l'aide du client POP3 et SMTP.

Autorisation

L'autorisation vérifie ce que vous êtes autorisé à faire. Par exemple, vous êtes autorisé à vous connecter à votre serveur via le client ssh, mais vous n'êtes pas autorisé à naviguer / data2 ou à tout autre système de fichiers. L'autorisation se produit après une authentification réussie.

L'autorisation est un processus par lequel le serveur détermine si le client a l'autorisation d'utiliser des ressources ou d'accéder à un fichier.

L'authentification est utilisée par un serveur lorsque le serveur a besoin de savoir exactement qui accède à ses informations ou à son site.

Exemple simple en temps réel, si l'élève vient à l'école, le directeur vérifie l'authentification et l'autorisation. Authentification: Vérifiez la carte d'identité de l'étudiant, cela signifie qu'il appartient ou non à notre école. Autorisation: Vérifiez que l'élève a la permission de s'asseoir ou non dans le laboratoire de programmation informatique.

J'ai essayé de créer une image pour expliquer cela dans les mots les plus simples

1) L'authentification signifie "Êtes-vous qui vous dites être?"

2) Autorisation signifie "Devriez-vous être capable de faire ce que vous essayez de faire?".

Ceci est également décrit dans l'image ci-dessous.

Authentification :

C'est le processus de validation si une identité est vraie ou fausse. En d'autres termes, vérifier qu'un utilisateur est bien celui qu'il prétend être.

Types d'authentification:

1. Nom d'utilisateur + type d'authentification par mot de passe
2. Authentification à l'aide de comptes sociaux
3. Authentification sans mot de passe
4. Authentification multifactorielle
5. Authentification basée sur les empreintes digitales ou la rétine, etc.

OpenID est un standard ouvert pour l'authentification.

Autorisation

La technique qui détermine quelles ressources sont accessibles à un utilisateur avec une identité ou un rôle donné.

OAuth est une norme ouverte pour l'autorisation.

Authentification : une application doit savoir qui accède à l'application. Donc, l'authentification est liée au mot qui. L'application le vérifiera par un formulaire de connexion. L'utilisateur entrera le nom d'utilisateur et le mot de passe et ces entrées seront validées par l'application. Une fois la validation réussie, l'utilisateur est déclaré authentifié.

L'autorisation consiste à vérifier si l'utilisateur peut accéder à l'application ou non ou à quel utilisateur peut accéder et à quel utilisateur ne peut pas accéder. Source: authentification vs autorisation

Par rapport au reste des réponses qui tentent de spécifier explicitement la définition ou la technologie. Je vais soumettre un exemple peut être plus précieux.

Voici un article qui fait une excellente analogie entre un passeport et une serrure et une clé

Lorsque vous parlez d' authentification (également appelée AuthN), pensez à l'identité. L'authentification essaie de répondre «est-ce que cette personne est celle qu'elle prétend être?» C'est un logiciel équivalent à un passeport ou à une vérification d'identité nationale. Ou pour le dire en termes plus réalistes, l'authentification est un processus similaire au moment où vous regardez le visage d'une autre personne pour reconnaître qu'il s'agit de votre ami de l'université et non de votre ennuyeux voisin du deuxième étage.

D'autre part, l' autorisation (également appelée AuthZ) est une question d'autorisations. L'autorisation répond à une question «qu'est-ce que cette personne est autorisée à faire dans cet espace?» Vous pouvez le considérer comme la clé de votre maison ou votre badge de bureau. Pouvez-vous ouvrir votre porte d'entrée? Votre voisin ennuyeux peut-il entrer dans votre appartement à volonté? Et de plus, une fois dans votre appartement, qui peut utiliser les toilettes? Qui peut manger de votre cachette secrète de biscuits cachés dans votre armoire de cuisine?