这两个术语通常在安全性方面相互结合使用,特别是在访问系统时。这两个都是非常关键的话题,通常与作为其服务基础设施关键部分的web相关。然而,这两个术语是非常不同的完全不同的概念。虽然它们经常在同一个上下文中使用同一个工具,但它们是完全不同的。
身份验证意味着确认您自己的身份,而授权意味着授予对系统的访问权限。简单地说,身份验证是验证您是谁的过程,而授权是验证您可以访问什么的过程。
身份验证是验证您的凭据,如用户名/用户ID和密码,以验证您的身份。系统确定您是否是您所说的您正在使用您的凭证。在公用和专用网络中,系统通过登录密码验证用户身份。身份验证通常由用户名和密码完成,有时还与身份验证因素结合使用,后者指的是要进行身份验证的各种方式。
身份验证因素决定了系统在授予某人访问任何内容(从访问文件到请求银行交易)之前,用来验证其身份的各种元素。一个用户的身份可以由他知道什么,他拥有什么,或者他是什么来决定。当涉及到安全性时,必须验证至少两个或全部三个身份验证因素,以便允许某人访问系统。
根据安全级别的不同,身份验证因子可以是以下值之一:
例如,当您将ATM卡输入ATM机时,ATM机会要求您输入pin。在您正确输入pin后,银行会确认您的身份,即该卡确实属于您,并且您是该卡的合法所有者。通过验证您的ATM卡pin,银行实际上验证了您的身份,这称为身份验证。它只是确定你是谁,没有别的。
另一方面,授权发生在系统成功验证了您的身份之后,最终授予您访问资源(如信息、文件、数据库、资金、位置等)的完全权限。简单来说,授权决定了您访问系统的能力以及访问的范围。身份验证成功后,一旦系统验证了您的身份,您就有权访问系统的资源。
授权是确定经过身份验证的用户是否可以访问特定资源的过程。它验证您是否有权授予您对信息、数据库、文件等资源的访问权限。授权通常在确认您的执行权限的身份验证之后进行。简单地说,这就像给某人做某事或任何事的官方许可。
例如,在组织中验证和确认员工ID和密码的过程称为身份验证,但确定哪个员工可以访问哪个楼层的过程称为授权。假设你正在旅行,你要登机。当您在办理登机手续前出示机票和身份**时,您将收到一张登机牌,确认机场管理局已验证您的身份。但不是这样。空姐必须授权您登机,允许您进入飞机内部及其资源。
对系统的访问受身份验证和授权的保护。任何访问系统的尝试都可以通过输入有效凭据进行身份验证,但只有在成功授权后才能接受。如果尝试已通过身份验证但未经授权,系统将拒绝对系统的访问。
身份验证 | 授权 |
身份验证确认您的身份以授予对系统的访问权限。 | 授权决定您是否有权访问资源。 |
它是验证用户凭据以获得用户访问权限的过程。 | 它是验证是否允许访问的过程。 |
它决定用户是否是他声称的那个人。 | 它决定了用户可以访问和不能访问的内容。 |
身份验证通常需要用户名和密码。 | 授权所需的身份验证因素可能会有所不同,具体取决于安全级别。 |
身份验证是授权的第一步,因此始终是第一步。 | 身份验证成功后进行授权。 |
例如,在访问大学官方网站的学生链接之前,要求某个大学的学生进行自我认证。这称为身份验证。 | 例如,授权准确地确定学生在成功认证后被授权在大学网站**问什么信息。 |
虽然这两个词经常被结合使用,但它们有完全不同的概念和含义。虽然这两个概念对web服务基础设施都是至关重要的,特别是在授予对系统的访问权限时,但理解与安全性相关的每个术语是关键。虽然我们大多数人混淆了一个术语和另一个术语,但理解它们之间的关键区别是很重要的,这实际上非常简单。如果身份验证就是您的身份,那么授权就是您可以访问和修改的内容。简单地说,身份验证就是确定某人是否是他声称的那个人。另一方面,授权决定了他访问资源的权利。
...在Ubuntu服务器和桌面风格上设置增强的安全性,并与googleauthenticator一起实现双因素身份验证。 ...
...,他们可以很容易地登录到你的Instagram帐户。使用像googleauthenticator或Authy这样的验证器应用程序动态生成一次性代码更安全。 ...
...但它也可能成为焦虑的来源。当你更换或升级**时,googleauthenticator不会自动迁移代码,你需要手动迁移。 谢天谢地,将Google验证器代码从一部**移动到另一部**并不困难,不过,无可否认,这可能有些麻烦和耗时。谷歌的这一意...
...更喜欢Authy当涉及到认证应用程序时,它与所有使用googleauthenticator的网站兼容,但更强大和方便。 为什么要用authy(而不是**s)生成代码 双因素身份验证要求您拥有帐户密码和附加身份验证方法。这样,即使有人发现你的电子...
...任何两因素认证更安全! 应用程序生成的代码(如google authenticator和authy) 相关:如何设置双因素身份验证的Authy(并在设备之间同步代码) 你也可以通过**上的应用程序生成代码。最广为人知的应用程序是googleauthenticator,它...
...非未知,但不常见的是,没有选择使用Authy(我们首选的authenticator应用程序)、Google authenticator或Microsoft authenticator之类的authenticator应用程序。不过,这并不是不打开2FA的理由,因为它是迄今为止阻止未经授权访问在线服务的最...
...列表,请访问twofactorauth.org。什么是双因素认证(two-factor authentication)?不幸的是,密码不像以前那么安全了,如果有人得到了你的密码,他们可以毫无顾忌地访问你的帐户。即使有一个强大的密码也不能完全保护你。双因素认证...
这两个术语通常在安全性方面相互结合使用,特别是在访问系统时。这两个都是非常关键的话题,通常与作为其服务基础设施关键部分的web相关。然而,这两个术语是非常不同的完全不同的概念。虽然它们经常在同一个上下文...
... 关键术语 身份验证、授权、系统安全 什么是身份验证(authentication)? 身份验证是证明用户身份的过程。身份验证是使用特定系统时的一种基本机制。没有适当的身份验证很难识别用户。系统可以要求用户名和密码的组合。这组...
身份验证服务器是控制谁可以访问计算网络的设备。身份验证的目标是授权、隐私和不可否认性。授权确定用户可以访问网络上的哪些对象或数据(如果有)。隐私保护可...