710 Stimmen

daGrevis avatar

Authentifizierung versus Autorisierung

Gefragt el 2 de Juli, 2011
Wann wurde die Frage gestellt
253732 Ansichten
Anzahl der Besuche der Frage
5 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Was ist der Unterschied bei Webanwendungen? Bitte kurz zusammengefasst.

Ich sehe die Abkürzung "auth" oft. Steht sie für authentifizierung oder authorisierung? Oder beides?

Gefragt el 2 de Juli, 2011 von daGrevis

83 Stimmen

Avatar von Onur Yıldırım

Bitte denken Sie daran: Authentication überprüft Anmeldeinformationen, Autorisierung überprüft Berechtigungen.

Kommentiert el 23 de April, 2017 von Onur Yıldırım

1 Stimmen

Avatar von Kyll

Cross-Site-Duplikat: serverfault.com/q/57077

Kommentiert el 9 de Januar, 2019 von Kyll

1 Stimmen

Avatar von jdf

Kürzlich habe ich für die Abkürzungen authn für Authentifizierung und authz für Autorisierung gesehen.

Kommentiert el 15 de Januar, 2019 von jdf
Anzeigen 1 weitere Kommentare

Antworten

Zu viele Anzeigen?

940voto

Kerrek SB avatar
Kerrek SB Punkte 445528

Authentifizierung ist der Prozess zur Feststellung, dass jemand wirklich die Person ist, für die er sich ausgibt.

Autorisierung bezieht sich auf Regeln, die bestimmen, wer was tun darf. Zum Beispiel könnte Adam autorisiert sein, Datenbanken zu erstellen und zu löschen, während Usama nur befugt ist zu lesen.

Die beiden Konzepte sind völlig orthogonal und unabhängig, aber beide sind zentral für das Sicherheitsdesign, und das Versagen beim richtigen Verständnis beider eröffnet die Möglichkeit zum Kompromiss.

Im Bereich von Webanwendungen bedeutet Authentifizierung grob gesagt, dass Sie Anmeldeinformationen überprüfen, um festzustellen, ob Sie einen Benutzer als angemeldet erkennen, und Autorisierung ist, wenn Sie in Ihrer Zugriffskontrolle nachschauen, ob Sie dem Benutzer erlauben, Inhalte anzuzeigen, zu bearbeiten, zu löschen oder zu erstellen.

Beantwortet el 2 de Juli, 2011 von Kerrek SB (445528 Punkte )

49 Stimmen

Avatar von Timo

Die Definitionen scheinen in Ordnung zu sein, aber sie scheinen eindeutig nicht unabhängig zu sein. Wie definiert, impliziert Authorisierung auch Authentifizierung? Wie kann man Adams Datenlöschungsoperation erlauben, wenn man zweifelt, dass er wirklich Adam ist? Anders ausgedrückt, wenn Adams Löschoperation autorisiert ist, dann hoffentlich des bedeutet, dass Adam authentifiziert ist.

Kommentiert el 20 de Oktober, 2017 von Timo

10 Stimmen

Avatar von Kerrek SB

@Timo: Eine Anwendung wird wahrscheinlich beides tun wollen, aber sie sind unabhängige Konzepte. Dein Chef könnte die Berechtigungen des Personals überprüfen, um auf wichtige Bestandteile des Unternehmens, das Firmenjet und den Bierkühlschrank zuzugreifen, ohne sich um die spezifische Person auf dem CCTV-Feed zu kümmern, die mit den Namen in der Tabelle übereinstimmt. Letzteres wäre die Sorge des Sicherheitsbeamten.

Kommentiert el 20 de Oktober, 2017 von Kerrek SB

1 Stimmen

Avatar von David Brossard

Die Konzepte sind definitiv orthogonal. Authentifizierung bedeutet nicht unbedingt, deine Identität zu beweisen. Es könnte bedeuten, eine Behauptung über dich selbst zu beweisen, z.B. dein Alter. Wenn du trinkst, authentifizierst du dein Alter, indem du einen Ausweis zeigst. Dann darfst du je nach deinem Alter und dem Rechtsgebiet, in dem du dich befindest, trinken (du darfst ab 21 in den USA und ab 18 in Europa trinken).

Kommentiert el 17 de November, 2018 von David Brossard
Anzeigen 7 weitere Kommentare

727voto

Geo avatar
Geo Punkte 12194

Kurz gesagt, bitte. :-)

Authentifizierung = Login + Passwort (wer du bist)

Autorisierung = Berechtigungen (was du tun darfst)

Kurz "auth" bezieht sich höchstwahrscheinlich entweder auf den ersten oder auf beide.

Beantwortet el 17 de Dezember, 2013 von Geo (12194 Punkte )

9 Stimmen

Avatar von devansvd

Süß wie ein Stück Kuchen :)

Kommentiert el 13 de Februar, 2018 von devansvd

0 Stimmen

Avatar von King

Ich mag das, kurz und süß.

Kommentiert el 14 de Dezember, 2018 von King

11 Stimmen

Avatar von Jens

Dann verstehe ich immer noch nicht, warum ein HTTP-Autorisierungsheader Authentifizierungsinformationen enthält... Ist das nicht eine unglückliche Bezeichnung?

Kommentiert el 16 de April, 2019 von Jens
Anzeigen 3 weitere Kommentare

86voto

Sebastian Paaske Tørholm avatar
Sebastian Paaske Tørholm Punkte 47234

Wie in Authentifizierung vs. Autorisierung erklärt wird:

Authentifizierung ist der Mechanismus, mit dem Systeme ihre Benutzer sicher identifizieren können. Authentifizierungssysteme geben Antworten auf die Fragen:

  • Wer ist der Benutzer?
  • Ist der Benutzer wirklich derjenige, für den er sich ausgibt?

Autorisierung hingegen ist der Mechanismus, durch den ein System bestimmt, welchen Zugriffslevel ein bestimmter authentifizierter Benutzer auf durch das System kontrollierte geschützte Ressourcen haben sollte. Zum Beispiel könnte ein Datenbankmanagementsystem so gestaltet sein, dass bestimmte Personen die Fähigkeit haben, Informationen aus einer Datenbank abzurufen, aber nicht die Möglichkeit haben, Daten in der Datenbank zu ändern, während anderen Personen die Möglichkeit gegeben wird, Daten zu ändern. Autorisierungssysteme geben Antworten auf die Fragen:

  • Ist Benutzer X berechtigt, auf Ressource R zuzugreifen?
  • Ist Benutzer X berechtigt, die Operation P durchzuführen?
  • Ist Benutzer X berechtigt, die Operation P auf Ressource R durchzuführen?

Siehe auch:

Beantwortet el 2 de Juli, 2011 von Sebastian Paaske Tørholm (47234 Punkte )

40voto

Aditya Mittal avatar
Aditya Mittal Punkte 1575

Im Benutzerkontext:

Authentifizierung = Überprüfung des Benutzers, ob er wirklich ist, wer er vorgibt zu sein (technisch gesehen können Sie viele verschiedene Dinge wie Passwort, Steuerinformationen, Sozialversicherungsinformationen, Führerschein, Fingerabdrücke oder andere biometrische Daten überprüfen... aber normalerweise reicht ein Benutzername/Passwort aus)

Autorisierung = Genehmigen des Benutzers, etwas zu tun (Sie können Rollen ['admin', 'verkäufer', 'käufer'...] mit Berechtigungen ['Zugriff auf das Steuerungszentrum', 'Produkte löschen'...] festlegen und diesen Rollen die Benutzer zuweisen, dann überprüfen, ob der Benutzer eine Rolle hat, die es ihm erlaubt, eine Aktion auszuführen)

Berechtigungen haben eine direkte Beziehung zu CRUD-Operationen, daher können Sie, wenn Sie eine Benutzeroberfläche erstellen, Objekte als Zeilen auflisten und Kontrollkästchen in 4 Spalten für Erstellen, Lesen, Aktualisieren, Löschen dieser Objektberechtigung für eine bestimmte Rolle anzeigen.

Wie in meinem obigen Beispiel bedeutet 'Zugriff auf das Steuerungszentrum' vollständigen Zugriff auf das Objekt Steuerungszentrum, während 'Produkte löschen' Zugriff zum Löschen des Produktobjekts bedeutet.

Hinweis: Der HTTP-Autorisierungsheader war ursprünglich für die Berechtigung zum Zugriff auf eine Ressource gedacht, wird jedoch tatsächlich als Authentifizierung für den gesamten Ressourcenzugriff verwendet.

In meinem Kopf und in meinem Code ist es einfacher, an Überprüfung und Berechtigungen zu denken, weil die beiden Wörter

  • nicht ähnlich klingen
  • nicht die gleiche Abkürzung haben
  • und die tatsächliche Implementierung der Autorisierung typischerweise die Implementierung von Rollen und Berechtigungen beinhaltet

Authentifizierung ist Überprüfung und Autorisierung ist die Überprüfung von Berechtigungen. 'Auth' kann beides bedeuten, wird jedoch häufiger als "Benutzerauthentifizierung" verwendet. Oftmals gibt es keine explizite Autorisierungsimplementierung (Rollen und Berechtigungen), nur die Authentifizierung wird verwendet, um die Autorisierung für jede verfügbare Aktion zu ermöglichen. Und so ist es Auth.

Beantwortet el 16 de Januar, 2016 von Aditya Mittal (1575 Punkte )

2 Stimmen

Avatar von Beachwalker

IMHO Überprüfung scheint einen etwas weiteren Anwendungsbereich zu haben als Authentifizierung, obwohl Authentifizierung eine Art von Überprüfung zu sein scheint, nicht jede Überprüfung ist eine Authentifizierung… also würde ich sagen, dass immer ein Kontext erforderlich ist: Benutzerzugriffsüberprüfung usw., Authentifizierung scheint immer im Bereich von "ist er wirklich derjenige/die Maschine?" (korrigieren Sie mich, wenn ich falsch liege, kein Muttersprachler, aber: "überprüfen", ob die bereitgestellten Informationen korrekt sind, im Gegensatz zu Authentifizierungen scheint etwas damit zu tun zu haben, die Person/Die Maschine ist diejenige, die sie vorgibt zu sein)

Kommentiert el 17 de Februar, 2016 von Beachwalker

0 Stimmen

Avatar von Aditya Mittal

Ja, ich spreche im Kontext des 'Benutzers'. In anderen Kontexten können alle Begriffe andere Bedeutungen haben.

Kommentiert el 30 de Januar, 2022 von Aditya Mittal

17voto

Kjartan avatar
Kjartan Punkte 17881

Die Verwirrung ist verständlich, da die beiden Wörter ähnlich klingen und die Konzepte oft eng miteinander verwandt und zusammen verwendet werden. Auch die häufig verwendete Abkürzung Auth hilft nicht.

Andere haben bereits gut beschrieben, was Authentifizierung und Autorisierung bedeuten. Hier ist eine einfache Regel, um die beiden klar voneinander zu trennen:

  • Authentifizierung validiert Ihre Identität (oder Echtheit, wenn Sie das bevorzugen)
  • Autorisierung validiert Ihre Autorität, d.h. Ihr Recht, auf etwas zuzugreifen und möglicherweise etwas zu ändern.
Beantwortet el 23 de Kann, 2018 von Kjartan (17881 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X