710 Stimmen

daGrevis avatar

Authentifizierung versus Autorisierung

Gefragt el 2 de Juli, 2011
Wann wurde die Frage gestellt
253761 Ansichten
Anzahl der Besuche der Frage
5 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Was ist der Unterschied bei Webanwendungen? Bitte kurz zusammengefasst.

Ich sehe die Abkürzung "auth" oft. Steht sie für authentifizierung oder authorisierung? Oder beides?

Gefragt el 2 de Juli, 2011 von daGrevis

83 Stimmen

Avatar von Onur Yıldırım

Bitte denken Sie daran: Authentication überprüft Anmeldeinformationen, Autorisierung überprüft Berechtigungen.

Kommentiert el 23 de April, 2017 von Onur Yıldırım

1 Stimmen

Avatar von Kyll

Cross-Site-Duplikat: serverfault.com/q/57077

Kommentiert el 9 de Januar, 2019 von Kyll

1 Stimmen

Avatar von jdf

Kürzlich habe ich für die Abkürzungen authn für Authentifizierung und authz für Autorisierung gesehen.

Kommentiert el 15 de Januar, 2019 von jdf
Anzeigen 1 weitere Kommentare

Antworten

Zu viele Anzeigen?

15voto

Rohit Ailani avatar
Rohit Ailani Punkte 880

Ich habe versucht, ein Bild zu erstellen, um dies in einfachen Worten zu erklären

1) Authentifizierung bedeutet "Bist du wirklich, wer du vorgibst zu sein?"

2) Autorisierung bedeutet "Solltest du in der Lage sein, das zu tun, was du versuchst zu tun?".

Dies wird auch im untenstehenden Bild beschrieben.

Bildbeschreibung hier eingeben

Ich habe versucht, es in bestmöglicher Weise zu erklären und ein Bild davon erstellt.

Beantwortet el 19 de April, 2018 von Rohit Ailani (880 Punkte )

5voto

Jakub Truhlář avatar
Jakub Truhlář Punkte 18280

Authentifizierung ist der Prozess zur Überprüfung der behaupteten Identität.

  • z.B. Benutzername/Passwort

Normalerweise gefolgt von Autorisierung, was die Genehmigung bedeutet, dass man dies und jenes tun kann.

  • z.B. Berechtigungen
Beantwortet el 11 de September, 2017 von Jakub Truhlář (18280 Punkte )

4voto

Sovichea Cheth avatar
Sovichea Cheth Punkte 137

Authentifizierung ist der Prozess zur Überprüfung Ihres Anmeldebenutzernamens und Passworts.

Autorisierung ist der Prozess zur Überprüfung, ob Sie auf etwas zugreifen können.

Beantwortet el 3 de Oktober, 2017 von Sovichea Cheth (137 Punkte )

4 Stimmen

Avatar von Ojonugwa Jude Ochalifu

Diese "Antwort" fügt nichts zu den bereits gegebenen Antworten hinzu.

Kommentiert el 8 de Februar, 2018 von Ojonugwa Jude Ochalifu

4voto

Boobalan avatar
Boobalan Punkte 765

Erweiterung zu @Kerreks Antwort;

Authentifizierung ist eine verallgemeinerte Form (Alle Mitarbeiter können sich am Gerät anmelden)

Autorisierung ist eine spezialisierte Form (Aber nur der Administrator kann die Anwendung auf dem Gerät installieren/deinstallieren)

Beantwortet el 21 de Marsch, 2014 von Boobalan (765 Punkte )

3 Stimmen

Avatar von Suamere

Das Wort "can" bezieht sich nur auf Autorisierung. Authentifizierung hat wenig oder nichts mit dem Einloggen zu tun. Ich könnte sehr wohl authentifizieren, dass du Boobalan bist, auf viele Arten (nicht nur Benutzername/Passwort). Sobald ich dich authentifiziert habe und weiß, wer du bist, könnte ich dir sehr wohl die Autorisierung verweigern, dich einzuloggen oder irgendetwas auf meiner Seite zu tun. Du bist authentifiziert, aber du kannst nichts tun. Es ist verwirrend und falsch das Wort "can" zu verwenden, wenn man über Authentifizierung spricht.

Kommentiert el 20 de Marsch, 2015 von Suamere

3voto

jabacchetta avatar
jabacchetta Punkte 36054

Definitionen

Authentifizierung - Sind Sie die Person, die Sie vorgeben zu sein?

Autorisierung - Sind Sie berechtigt, alles zu tun, was Sie versuchen zu tun?

Beispiel

Ein Web-App verwendet Google-Anmeldung. Nachdem sich ein Benutzer erfolgreich angemeldet hat, sendet Google zurück:

  1. Ein JWT-Token. Dies kann validiert und decodiert werden, um Authentifizierungs-Informationen zu erhalten. Ist das Token von Google signiert? Welcher ist der Name und die E-Mail des Benutzers?
  2. Ein Zugriffstoken. Dies autorisiert die Web-App, im Namen des Benutzers auf Google-APIs zuzugreifen. Kann die App beispielsweise auf die Google Kalender-Ereignisse des Benutzers zugreifen? Diese Berechtigungen hängen von den angeforderten Scopes ab und davon, ob der Benutzer dies genehmigt hat.

Zusätzlich:

Das Unternehmen kann ein Admin-Dashboard haben, mit dem der Kundensupport die Benutzer des Unternehmens verwalten kann. Anstatt eine benutzerdefinierte Anmeldelösung bereitzustellen, mit der der Kundensupport auf dieses Dashboard zugreifen könnte, verwendet das Unternehmen Google-Anmeldung.

Das JWT-Token (das aus dem Google-Anmeldeprozess stammt) wird an den Autorisierungsserver des Unternehmens gesendet, um herauszufinden, ob der Benutzer über ein G Suite-Konto mit der gehosteten Domain des Unternehmens verfügt (email@firma.com). Und falls ja, sind sie Mitglied der Google-Gruppe des Unternehmens, die für den Kundensupport erstellt wurde? Wenn ja, können wir sie als authentifiziert betrachten.

Der Autorisierungsserver des Unternehmens sendet dann der Dashboard-App ein Zugriffstoken. Mit diesem Zugriffstoken können autorisierte Anfragen an den Ressourcenserver des Unternehmens gestellt werden (z.B. die Möglichkeit, eine GET-Anfrage an einen Endpunkt zu senden, der alle Benutzer des Unternehmens zurückgibt).

Beantwortet el 14 de November, 2019 von jabacchetta (36054 Punkte )

0 Stimmen

Avatar von ansh sachdeva

Dies ist eine sehr informative Antwort, die technische Aspekte abdeckt. Danke!

Kommentiert el 15 de August, 2020 von ansh sachdeva

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X