Authentication vs. Authorization

Authentication е все едно „логването“, тоест, да се легитимираш , най-често използвайки е-mail или потребителско име и парола, за да може сървът да провери дали има такъв регистиран и валиден потребител при него.

Authorization е дали при следващ request (следващ, демек след Authentication) наистина си ти, който си се логнал и ако да, да ти върна ли респонс.

При Authentication се сетва cookie с хедъра Set-Cookie с някакво session ID.

При Authorization клиентът, вече имайки това cookie, го изпраща с хедъра Cookie за да покаже кой е.

Но и не само това. В какъв смисъл?

В смисъл такъв, ОК влязъл си, искаш да првиш това или онова, но дали имаш право на това или онова? Това, че си влязъл не ти дава пълни права за всичко. Едно приложение има различни „области“, и различните потребители може да бъдат ограничени откъм права, според дадената област.

Демек, не само дали наистина си ти, който преди малко си се логнал, но и на ниво access level дали имаш право да правиш това и онова.

Authentication determines who you are, authorization determines what you can do.

Authentication verifies the identity of a user or service, and authorization determines their access rights.

After users are authenticated, authorization is a matter of determining what level of access authenticated users should have. For instance, the system admin of a web application has typically more access than a regular user.

Литература

https://identitymanagementinstitute.org/difference-between-authentication-and-authorization

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *