认证与授权
通过系统安全地识别用户的过程称为身份验证。身份验证尝试识别用户的身份,以及用户是否是他/她所代表的人。通过确定用户对资源的访问权限(授权级别)来确定用户的访问权限。
什么是身份验证?
身份验证用于确定试图使用系统的用户的身份。通过测试只有被认证的用户和认证系统才知道的唯一信息来建立身份。这个唯一的信息可以是密码,或者是用户特有的物理属性,例如指纹或其他生物量表等。身份验证系统的工作原理是要求用户提供唯一的信息,如果系统能够验证该信息,则用户被视为已认证。身份验证系统可以从简单的密码挑战系统到复杂的系统,如Kerberos。本地身份验证方法是使用的最简单和最常见的身份验证系统。在这种系统中,经过身份验证的用户的用户名和密码存储在本地服务器系统上。当用户想要登录时,他/她会将用户名和密码以明文形式发送到服务器。它将接收到的信息与数据库进行比较,如果匹配,则对用户进行身份验证。像Kerberos这样的高级身份验证系统使用可信的身份验证服务器来提供身份验证服务。
什么是授权?
用于确定经过身份验证的用户可以访问的资源的方法称为授权(authorization,authorization)。例如,在数据库中,允许一组用户更新/修改数据库,而有些用户只能读取数据。因此,当一个用户登录到数据库时,授权方案决定该用户是否应该被赋予修改数据库的能力,或者仅仅是读取数据的能力。因此,一般来说,授权方案决定了经过身份验证的用户是否应该能够对特定的资源执行特定的操作。此外,在授权用户访问系统中的某些资源时,授权方案可以使用诸如一天中的时间、物理位置、访问系统的次数等因素。
身份验证和授权之间有什么区别?