这两个术语通常在安全性方面相互结合使用，特别是在访问系统时。这两个都是非常关键的话题，通常与作为其服务基础设施关键部分的web相关。然而，这两个术语是非常不同的完全不同的概念。虽然它们经常在同一个上下文中使用同一个工具，但它们是完全不同的。

身份验证意味着确认您自己的身份，而授权意味着授予对系统的访问权限。简单地说，身份验证是验证您是谁的过程，而授权是验证您可以访问什么的过程。

身份验证

身份验证是验证您的凭据，如用户名/用户ID和密码，以验证您的身份。系统确定您是否是您所说的您正在使用您的凭证。在公用和专用网络中，系统通过登录密码验证用户身份。身份验证通常由用户名和密码完成，有时还与身份验证因素结合使用，后者指的是要进行身份验证的各种方式。

身份验证因素决定了系统在授予某人访问任何内容（从访问文件到请求银行交易）之前，用来验证其身份的各种元素。一个用户的身份可以由他知道什么，他拥有什么，或者他是什么来决定。当涉及到安全性时，必须验证至少两个或全部三个身份验证因素，以便允许某人访问系统。

根据安全级别的不同，身份验证因子可以是以下值之一：

• 单因素身份验证–这是最简单的身份验证方法，通常依赖简单的密码授予用户访问特定系统（如网站或网络）的权限。此人只能使用其中一个凭据来验证其身份，从而请求访问系统。单因素身份验证最常见的例子是登录凭据，它只需要针对用户名的密码。
• 双因素身份验证——顾名思义，它是一个两步验证过程，不仅需要用户名和密码，还需要只有用户知道的东西，以确保额外的安全级别，例如只有用户知道的ATM pin。使用用户名和密码以及额外的机密信息，欺诈者几乎不可能窃取有价值的数据。
• 多因素身份验证–这是最先进的身份验证方法，它使用来自独立身份验证类别的两个或多个安全级别来授予用户对系统的访问权限。所有因素应相互独立，以消除系统中的任何漏洞。金融组织、银行和执法机构使用多因素身份验证来保护其数据和应用程序免受潜在威胁。

例如，当您将ATM卡输入ATM机时，ATM机会要求您输入pin。在您正确输入pin后，银行会确认您的身份，即该卡确实属于您，并且您是该卡的合法所有者。通过验证您的ATM卡pin，银行实际上验证了您的身份，这称为身份验证。它只是确定你是谁，没有别的。

授权

另一方面，授权发生在系统成功验证了您的身份之后，最终授予您访问资源（如信息、文件、数据库、资金、位置等）的完全权限。简单来说，授权决定了您访问系统的能力以及访问的范围。身份验证成功后，一旦系统验证了您的身份，您就有权访问系统的资源。

授权是确定经过身份验证的用户是否可以访问特定资源的过程。它验证您是否有权授予您对信息、数据库、文件等资源的访问权限。授权通常在确认您的执行权限的身份验证之后进行。简单地说，这就像给某人做某事或任何事的官方许可。

例如，在组织中验证和确认员工ID和密码的过程称为身份验证，但确定哪个员工可以访问哪个楼层的过程称为授权。假设你正在旅行，你要登机。当您在办理登机手续前出示机票和身份**时，您将收到一张登机牌，确认机场管理局已验证您的身份。但不是这样。空姐必须授权您登机，允许您进入飞机内部及其资源。

对系统的访问受身份验证和授权的保护。任何访问系统的尝试都可以通过输入有效凭据进行身份验证，但只有在成功授权后才能接受。如果尝试已通过身份验证但未经授权，系统将拒绝对系统的访问。

总结

虽然这两个词经常被结合使用，但它们有完全不同的概念和含义。虽然这两个概念对web服务基础设施都是至关重要的，特别是在授予对系统的访问权限时，但理解与安全性相关的每个术语是关键。虽然我们大多数人混淆了一个术语和另一个术语，但理解它们之间的关键区别是很重要的，这实际上非常简单。如果身份验证就是您的身份，那么授权就是您可以访问和修改的内容。简单地说，身份验证就是确定某人是否是他声称的那个人。另一方面，授权决定了他访问资源的权利。