认证与授权

欲了解更详细信息，请参阅此处

认证与授权

认证 是一个验证过程:

• 通过提供证明(密钥、生物识别、短信等)来验证系统中的用户身份(用户名、登录名、电话号码、电子邮件等)。多因素认证是其扩展。
• 使用数字签名^[关于]检查电子邮件。
• 校验和

授权 是在 认证 后的下一步。它涉及对资源的权限/角色/特权。 OAuth (开放式授权) 是授权的一个例子。

认证是验证实体身份的过程。例如：

• Web服务器每次要求用户输入登录/密码，以验证创建帐户的用户是否正在访问它。

授权是允许每个实体使用所需数量的服务/资源的过程。例如：

• 在博客网站（例如medium.com）上，用户可以创建帐户、编写并发布文章，并阅读其他用户发布的所有文章。这里，博客服务器首先使用用户登录凭据（登录/密码）对用户进行身份验证，然后授权其阅读所有其他文章并仅修改由该用户创建的文章。在这里，服务器使用授权来限制每个用户可以修改的帖子。
• 用户可以通过创建免费的Google帐户，从而获得谷歌服务器提供的免费服务，如邮件、日历、聊天、驱动器等。但为所有这些服务提供的存储空间都是15GB（截至目前）。用户可以向谷歌服务器支付月费或年费以增加存储空间。在这里，谷歌服务器授权每个经过身份验证的用户，以限制资源使用量。

在今天的互联网中，授权被广泛用于对客户端应用访问进行限制。

认证是通过获取某种凭据（例如用户名和密码组合）并使用这些凭据来验证用户身份的过程。

授权是允许经过身份验证的用户通过检查用户是否对系统具有访问权限来访问他的资源的过程。您可以通过向经过身份验证的用户授予或拒绝特定权限来控制访问权限。因此，如果认证成功，则开始授权过程。 认证过程始终会进入授权过程。

JWT用于授权：JWT是一种基于JSON格式的安全令牌，它基本上是一个Base64编码的字符串，用作在两个应用程序之间传输安全内容的手段。它们用于保护Web API中的请求数据。 这些包含在Authorization HTTP头中，作为承载者认证方案的一部分。

OAuth用于授权：OAuth不是API或服务：它是授权的开放标准，任何人都可以实现它。 使用OAuth，您可以使用您的Google，Facebook，Twitter或Microsoft帐户登录第三方网站，而不必提供密码。 这样，您就可以避免在您使用的每个网络应用程序上创建帐户和记住密码。

我发现这篇文章中的比喻对我很有帮助。

考虑一个人走到一扇锁着的门前，为了照顾宠物而进入家里，而家人则在度假期间不在家。这个人需要：

• 认证采用钥匙的形式。门上的锁只授权给拥有正确钥匙的人，就像系统只授权给拥有正确凭据的用户一样。
• 授权采用权限的形式。一旦进入，这个人就有权访问厨房并打开存放宠物食品的橱柜。但这个人可能没有权限进入卧室小憩一会儿。

因此，认证关乎用户身份，而授权关乎用户权限。

想象一下，你已经注册了一个技术会议。你到达现场并走到外面的注册台领取你的会议徽章。你必须首先出示某种身份证明，例如驾照。你的驾照可以用来识别你（例如带有你的照片），并由一个可信实体（DMV）分发。这就是认证。
工作人员递给你徽章，它可能是红色、蓝色或绿色的。在会议内部走动时，一些展品是按颜色编码的。如果你有绿色徽章，你可以进入绿色展区，但不能进入蓝色或红色展区。徽章不是由 DMV 分发的，而是由会议本身分发的，以便在会议大厅内访问会议资源。
徽章上没有必要有任何关于你身份的信息（它可能印有你的名字，但你可以轻松地借用你朋友的蓝色徽章去参观蓝色展区——没有人会检查你的名字，只会检查蓝色）。徽章的颜色授权你访问展品。这就是授权。

认证是确认有效用户的过程。

授权是验证用户访问级别的过程。

应用程序示例 用户A，B都是库存应用程序的认证用户。 两个用户都可以进入库存，但B具有更多的授权权限以发出物品。