Різниця між аутентифікацією і авторизацією

Всім нам знайома процедура входу в власний аккаунт в соцмережі, онлайн-грі або електронною поштою: повідомляємо логін і пароль - отримуємо доступ до особистій сторінці. У Рунеті і локалізованих системах це часто називається авторизацією, що з технічної точки зору в корені невірно: натискання Enter в формі введення запускає два абсолютно різні процеси - аутентифікацію і авторизацію. При виникненні помилок необхідно чітко розуміти, на якому етапі відбувається збій.

Зміст статті

• визначення
• порівняння
• Таблиця

визначення

аутентифікація - проходження перевірки автентичності.

авторизація - надання та перевірка прав на вчинення будь-яких дій в системі.

Природно, і аутентифікацію, і авторизацію використовують не тільки в процесі отримання доступу до мережевих акаунтів. Автоматизовані системи, EDI, передача даних, пластикові банківські картки - ми не один раз в день проходимо ці процедури в автоматичному режимі.

В англомовних системах плутанини з термінологією не виникає: користувач взагалі не замислюється, чим відрізняється аутентифікація від авторизації, адже обидві процедури від його очей приховані. Пропонується "увійти в систему" - "log in, logging in".

порівняння

Як проходить процедура аутентифікації? Ось якийсь користувач намірився прочитати свіжий спам в своєму електронному поштовому ящику. Він заходить на сайт поштового сервісу, читає рекламу і новини, але ніяких листів йому поки не показують - система не знає ні про його особистості, ні про його наміри. Коли в форму введення логіна і пароля він впише свої "username / qwerty" і відправить цю інформацію, почнеться процес аутентифікації. Система перевірить, чи існує користувач з таким ім'ям, чи збігається введений пароль з його обліковим записом. У багатьох випадках відповідності подібних ідентифікаторів досить, проте сервіси, де безпеку даних в пріоритеті, можуть запитувати і інші відомості: наявність сертифіката, певний IP-адреса або додатковий код верифікації.

Пройдена аутентифікація означає, що користувач дійсно той, ким здається. Однак цього мало для надання йому доступу до даних - починається процес авторизації. У випадку з поштовими сервісами клієнти мають рівні права: кожен з них може переглядати листи і документи, редагувати їх і створювати нові. А ось в соціальних мережах або на форумах відвідувачі належать до певної групи, і авторизація допомагає системі визначити, що дозволено Юпітеру і не дозволено бику. Наприклад, у вас немає права писати повідомлення користувачу, який додав вас в чорний список; ви не можете додавати в повідомлення посилання на відео, поки не набрали певну кількість постів; ви можете переглядати фотографії людини, що додав вас "в друзі". У локальних системах у облікового запису користувача може не бути доступу до деяких програм, стояти заборона на редагування або копіювання документів.

В процесі авторизації перевіряється наявність прав на конкретні дії у власника аккаунта або учеткі. Це відбувається не тільки під час входу в систему, але і при будь-якій спробі здійснити будь-які маніпуляції з даними. У цьому полягає відмінність аутентифікації від авторизації: перша - процедура одноразова для поточної сесії, другу користувач проходить постійно перед запуском будь-якого процесу.

Запам'ятати, в чому різниця між аутентифікацією і авторизацією, зазвичай дозволяє аналогія з закритими об'єктами промислових комплексів. При вході відвідувач пред'являє посвідчення особи (введення логіна і пароля), а співробітник охорони перевіряє по базі даних, чи можна цю людину впустити. Якщо документ справжній і прізвище є в списку - вхід на територію об'єкта дозволений. Щоб потрапити в лабораторію, потрібен один пропуск, в прес-центр - інший, на вивезення сміття - третій. Служба безпеки перевіряє право на доступ до об'єктів і дозволяє або забороняє персоналу певні дії. Так проходить авторизація.

Процес аутентифікації запускається користувачем при вході в систему: він надає ідентифікаційні дані, будь то пара логін / пароль, відбиток пальця, встановлений сертифікат, карта і її PIN-код. При цьому можливі помилки з боку клієнта. Авторизація запускається сервером автоматично, якщо аутентифікація завершена успішно, і дії користувача на даний процес не впливають.

Таблиця