Existe uma diferença entre autenticação e autorização?

97

Eu vejo esses dois termos discutidos um pouco (especificamente em cenários baseados na web, mas suponho que não seja limitado a isso) e eu estava me perguntando se havia ou não uma diferença.

Parece-me que ambos significam que você tem permissão para fazer o que está fazendo. Então, isso é apenas uma questão de nomenclatura ou há uma diferença básica de significado?

security paxdiablo
fonte
3
Sim. Existe uma grande diferença. Wiki diz o quê? Com 148k, realmente agora ;-) posso autenticar que você é um espião inimigo (ou um soldado raso sem autorização) sem autorizar você a acessar os dados secretos.
É a diferença entre "autêntico" e "autorizado"; inutilmente, ambos abreviam para "auth". O Apache os distingue com "authn" e "authz".
tc.
Isso é explicado de forma muito simples aqui: serverfault.com/a/57082/227016
Kuldeep Jain
Isso responde sua pergunta? Autenticação versus Autorização
Løiten

Respostas:

141

Na verdade, existe uma diferença fundamental. A autenticação é o mecanismo pelo qual os sistemas podem identificar com segurança seus usuários. Os sistemas de autenticação procuram fornecer respostas às perguntas:

  • Quem é o usuário?
  • O usuário é realmente quem afirma / representa ser?

A autorização, por outro lado, é o mecanismo pelo qual um sistema determina que nível de acesso um determinado usuário (autenticado) deve ter aos recursos controlados pelo sistema. Para um exemplo que pode ou não estar relacionado a um cenário baseado na web, um sistema de gerenciamento de banco de dados pode ser projetado de modo a fornecer a certos indivíduos especificados a capacidade de recuperar informações de um banco de dados, mas não a capacidade de alterar os dados armazenados no banco de dados, enquanto dá a outros indivíduos a capacidade de alterar dados. Os sistemas de autorização fornecem respostas às perguntas:

  • O usuário X está autorizado a acessar o recurso R?
  • O usuário X está autorizado a realizar a operação P?
  • O usuário X está autorizado a executar a operação P no recurso R?

Steve Riley escreveu um ensaio muito bom sobre por que eles devem permanecer distintos.

Michael Foukarakis
fonte
3
A autenticação também se aplica a outras coisas (por exemplo, um MAC).
tc.
O ensaio que você fornece é incrível, obrigado por compartilhá-lo.
Abdel-Raouf
43

A autenticação refere-se à verificação da identidade de uma entidade. A autorização trata do que uma entidade autenticada tem permissão para fazer (por exemplo, permissões de arquivo).

jpm
fonte
12

O ponto principal é:

  • A autenticação trata da validação da conta do usuário. Este é um usuário válido? Este usuário está cadastrado em nosso aplicativo ?. por exemplo: Login
  • A autorização trata da validação de acesso do usuário a determinado recurso. Este usuário tem autorização / direito de acessar este recurso? por exemplo: reivindicações, funções
Moch Yusup
fonte
5

Autenticação:

A autenticação é o processo de verificar a identidade de um usuário, obtendo algum tipo de credencial e usando essas credenciais para verificar a identidade do usuário. Se as credenciais forem válidas, o processo de autorização será iniciado. O processo de autenticação sempre segue para o processo de autorização.

Autorização:

Autorização é o processo de permitir que usuários autenticados acessem os recursos, verificando se o usuário tem direitos de acesso ao sistema. A autorização ajuda você a controlar os direitos de acesso concedendo ou negando permissões específicas a um usuário autenticado.

Humoyun Ahmad
fonte
2

Na minha experiência, a autenticação geralmente se refere ao processo mais técnico, ou seja, a autenticação de um usuário (verificando as credenciais de login / senha, certificados, etc.), enquanto a autorização é mais usada na lógica de negócios de um aplicativo.

Por exemplo, em um aplicativo, um usuário pode fazer o login e ser autenticado, mas não está autorizado a executar certas funções.

Nageeb
fonte
1

Autenticar um usuário em um site significa que você verifica se esse usuário é um usuário válido, ou seja, verifica quem o usuário está usando nome de usuário / senha ou certificados, etc. Em termos comuns, a pessoa tem permissão para entrar no prédio?

Autorização é o processo de verificar se o usuário tem direitos / permissão para acessar determinados recursos ou seções de um site, por exemplo, se for um CMS, o usuário está autorizado a alterar o conteúdo do site. Em termos de cenário de prédio de escritórios, o usuário tem permissão para entrar na sala de redes do escritório.

Aziz Shaikh
fonte
1

Se eu conseguir fazer o login, minhas credenciais serão verificadas e ESTOU AUTENTICADO. Se eu puder realizar uma tarefa específica, estou AUTORIZADO para fazê-lo.

Puneet Pandey
fonte
1

A autenticação verifica quem você é e a autorização verifica o que você está autorizado a fazer. Por exemplo, você tem permissão para fazer login em seu servidor Unix através do cliente ssh, mas não está autorizado para navegador / data2 ou qualquer outro sistema de arquivos. A autorização ocorre após a autenticação bem-sucedida ........

BMW
fonte
0

A autenticação verifica quem você é e a autorização verifica o que você está autorizado a fazer. Por exemplo, você tem permissão para fazer login em seu servidor Unix através do cliente ssh, mas não está autorizado para navegador / data2 ou qualquer outro sistema de arquivos. A autorização ocorre após a autenticação bem-sucedida.

vinit payal
fonte
0

Autenticação: verificar quem é o usuário.

Para se autenticar, o usuário fornece informações de credenciais como nome de usuário e senha e, se as credenciais forem válidas, o usuário recebe um token que pode ser enviado com solicitações futuras como verificação de sua autenticação.

Autorização: determinar o que um usuário tem permissão para fazer.

Do ponto de vista do usuário, uma autorização bem-sucedida ocorre quando ele consegue enviar uma solicitação para acessar um sistema e fazer algo (como carregar um arquivo no sistema) e funciona.

A autenticação apenas verifica a identidade - ela confirma se o usuário é quem afirma ser. A autorização determina quais recursos um usuário verificado pode acessar.

Smrity
fonte
0

Autenticação

A autenticação verifica quem você é. Por exemplo, você pode fazer o login em seu servidor usando o cliente ssh ou acessar seu servidor de e-mail usando o cliente POP3 e SMTP.

Autorização

A autorização verifica o que você está autorizado a fazer. Por exemplo, você tem permissão para fazer login em seu servidor através do cliente ssh, mas não está autorizado para navegador / data2 ou qualquer outro sistema de arquivos. A autorização ocorre após a autenticação bem-sucedida.

Bilali Hamisi
fonte
0

Autorização é um processo pelo qual o servidor determina se o cliente tem permissão para usar um recurso ou arquivo de acesso.

A autenticação é usada por um servidor quando o servidor precisa saber exatamente quem está acessando suas informações ou site.

Shankar Ghimire
fonte
0

Exemplo simples em tempo real, se o aluno está vindo para a escola, o diretor está verificando a autenticação e autorização. Autenticação: Verifique a carteira de estudante, significa que ele ou ela pertence à nossa escola ou não. Autorização: Verifique se o aluno tem permissão para sentar ou não no Laboratório de Programação de Computadores.

Sambhu
fonte
0

Tentei criar uma imagem para explicar isso nas palavras mais simples

1) Autenticação significa "Você é quem diz ser?"

2) Autorização significa "Você deve ser capaz de fazer o que está tentando fazer?".

Isso também é descrito na imagem abaixo.

insira a descrição da imagem aqui

Rohit Ailani
fonte
2
por que você adicionaria uma imagem com exatamente o mesmo texto da sua postagem? :)
Millenjo 01 de
0

Autenticação :

É o processo de validação se uma identidade é verdadeira ou falsa. Em outras palavras, verificar se um usuário é realmente aquele que afirma ser.

Tipos de autenticação:

  1. Tipo de autenticação de nome de usuário + senha
  2. Autenticação usando contas sociais
  3. Autenticação sem senha
  4. Autenticação multifator
  5. Autenticação baseada em impressão digital ou retina, etc.

OpenID é um padrão aberto para autenticação.

Autorização

A técnica que determina quais recursos são acessíveis a um usuário com uma determinada identidade ou função.

OAuth é um padrão aberto para autorização.

Steffi Keran Rani J
fonte
0

Autenticação : um aplicativo precisa saber quem está acessando o aplicativo. Portanto, a autenticação está relacionada à palavra quem. O aplicativo irá verificar por meio de um formulário de login. O usuário digitará o nome de usuário e a senha e essas entradas serão validadas pelo aplicativo. Assim que a validação for bem-sucedida, o usuário é declarado como autenticado.

A autorização é para verificar se o usuário pode acessar o aplicativo ou não ou qual usuário pode acessar e qual usuário não pode acessar. Fonte: Autenticação Vs Autorização

rahulnikhare
fonte
0

Em comparação com o resto das respostas que tentam especificar explicitamente a definição ou tecnologia. Vou apresentar um exemplo pode ser mais valioso.

Aqui está um artigo que faz uma ótima analogia entre um passaporte e um cadeado e chave

Ao falar sobre autenticação (também chamada de AuthN), pense na identidade. A autenticação tenta responder "essa pessoa é quem dizem que é?" É um software equivalente a um passaporte ou verificação de identidade nacional. Ou, para colocá-lo em termos mais realistas, a autenticação é um processo semelhante ao momento em que você olha para o rosto de outra pessoa para reconhecer que se trata de seu amigo da faculdade e não de seu vizinho chato do segundo andar.

Por outro lado, a autorização (também chamada de AuthZ) tem tudo a ver com permissões. A autorização responde a uma pergunta "o que esta pessoa tem permissão para fazer neste espaço?" Você pode pensar nisso como a chave de sua casa ou o crachá do escritório. Você pode abrir a porta da frente? Seu vizinho chato pode entrar no seu apartamento à vontade? E mais, uma vez no seu apartamento, quem pode usar o banheiro? Quem pode comer do seu esconderijo secreto de biscoitos guardado no armário da cozinha?

Warren Parad
fonte