Authentifizierung vs. Autorisierung

Heute werde ich zwei Themen diskutieren, die die meisten Leute eher verwirren. Beide Begriffe werden häufig in Verbindung miteinander verwendet, wenn es um die Sicherheit und den Zugriff auf das System geht. Beide Begriffe sind sehr wichtige Themen, die häufig mit dem Web als Schlüsselelementen seiner Service-Infrastruktur in Verbindung gebracht werden. Diese beiden Begriffe sind jedoch bei völlig unterschiedlichen Konzepten sehr unterschiedlich. Jetzt fragen Sie sich, was diese Begriffe sind. Sie werden als Authentifizierung und Autorisierung bezeichnet. Authentifizierung bedeutet die Bestätigung Ihrer eigenen Identität, während Autorisierung den Zugriff auf das System bedeutet. Noch einfacher ausgedrückt, Authentifizierung ist der Prozess der Selbstüberprüfung, während Autorisierung der Prozess der Überprüfung ist, auf was Sie Zugriff haben.

Authentifizierung

Bei der Authentifizierung werden Ihre Anmeldeinformationen wie Benutzername / Benutzer-ID und Kennwort überprüft, um Ihre Identität zu überprüfen. Das System prüft dann, ob Sie Ihre Anmeldeinformationen verwenden. Ob in öffentlichen oder privaten Netzwerken, das System authentifiziert die Benutzeridentität mithilfe von Anmeldekennwörtern. Normalerweise erfolgt die Authentifizierung über einen Benutzernamen und ein Kennwort. Es gibt jedoch auch verschiedene andere Möglichkeiten, sich zu authentifizieren.

Authentifizierungsfaktoren bestimmen die vielen verschiedenen Elemente, mit denen das System seine Identität überprüft, bevor es dem einzelnen Zugriff auf irgendetwas gewährt. Die Identität einer Person kann durch das Wissen der Person bestimmt werden. Wenn es um die Sicherheit geht, müssen mindestens zwei oder alle drei Authentifizierungsfaktoren überprüft werden, um jemandem die Berechtigung für das System zu erteilen. Abhängig von der Sicherheitsstufe können die Authentifizierungsfaktoren von einem der folgenden Faktoren abweichen:

  • Single-Factor-Authentifizierung: Dies ist die einfachste Form der Authentifizierung, bei der ein Kennwort erforderlich ist, um dem Benutzer Zugriff auf ein bestimmtes System wie eine Website oder ein Netzwerk zu gewähren. Die Person kann mit nur einem der Anmeldeinformationen den Zugriff auf das System anfordern, um die Identität zu überprüfen. Wenn Sie beispielsweise nur ein Kennwort für einen Benutzernamen benötigen, können Sie die Anmeldeinformationen mithilfe der Einzelfaktorauthentifizierung überprüfen.
  • Zwei-Faktor-Authentifizierung: Diese Authentifizierung erfordert einen zweistufigen Überprüfungsprozess, der nicht nur einen Benutzernamen und ein Kennwort erfordert, sondern auch eine Information, die nur der Benutzer kennt. Die Verwendung eines Benutzernamens und eines Kennworts zusammen mit vertraulichen Informationen erschwert Hackern den Diebstahl wertvoller und persönlicher Daten.
  • Multifaktor-Authentifizierung: Dies ist die fortschrittlichste Authentifizierungsmethode, für die zwei oder mehr Sicherheitsstufen von unabhängigen Authentifizierungskategorien erforderlich sind, um dem Benutzer Zugriff auf das System zu gewähren. Diese Form der Authentifizierung nutzt voneinander unabhängige Faktoren, um eine Gefährdung der Daten auszuschließen. In Finanzorganisationen, Banken und Strafverfolgungsbehörden wird häufig die Mehrfaktorenauthentifizierung verwendet.

Genehmigung

Die Autorisierung erfolgt nach erfolgreicher Authentifizierung Ihrer Identität durch das System, wodurch Sie uneingeschränkten Zugriff auf Ressourcen wie Informationen, Dateien, Datenbanken, Fonds usw. erhalten. Die Autorisierung überprüft jedoch Ihre Rechte, Ihnen Zugriff auf Ressourcen zu gewähren, nachdem Sie festgestellt haben, ob Sie Zugriff haben das System und in welchem ​​Umfang. Mit anderen Worten ist die Autorisierung der Prozess, um zu bestimmen, ob der authentifizierte Benutzer Zugriff auf die bestimmten Ressourcen hat. Ein gutes Beispiel hierfür ist, dass nach Überprüfung und Bestätigung der Mitarbeiter-ID und der Passwörter durch Authentifizierung im nächsten Schritt ermittelt wird, welcher Mitarbeiter Zugriff auf welche Etage hat, und dies durch Autorisierung.

Der Zugriff auf ein System ist durch Authentifizierung und Autorisierung geschützt und wird häufig zusammen verwendet. Obwohl beide unterschiedliche Konzepte verfolgen, sind sie für die Webservice-Infrastruktur von entscheidender Bedeutung, insbesondere wenn es darum geht, Zugriff auf ein System zu erhalten. Das Verstehen jedes Begriffs ist sehr wichtig und ein Schlüsselaspekt der Sicherheit.

Von DDI empfohlene Ressourcen

  • OAuth 2 In Action von Justin Richer und Antonio Sanso