认证、授权、鉴权和权限控制概念区别
1.认证:
认证是指根据声明者所特有的识别信息,确认声明者的身份。认证在英文中对应于identification这个单词。
最常见的认证实现方式是通过用户名和密码,但认证方式不限于此。下面都是当前常见到的认证技术,
- 身份证
- 用户名和密码
- 用户手机:手机短信、手机二维码扫描、手势密码
- 用户的电子邮箱
- 基于时间序列和用户相关的一次性口令
- 用户的生物学特征:指纹、语音、眼睛虹膜
- 用户的大数据识别
- 等等
为了确认用户的身份,防止伪造,在安全要求高的场合,经常会使用组合认证(或者叫多因素认证),也就是同时使用多个认证方式对用户的身份进行校验。
2. 授权
简单来说,授权一般是指获取用户的委派权限。在英文中对应于authorization这个单词。
在信息安全领域,授权是指资源所有者委派执行者,赋予执行者指定范围的资源操作权限,以便执行者代理执行对资源的相关操作。这里面包含有如下四个重要概念,
- 资源所有者,拥有资源的所有权利,一般就是资源的拥有者。
- 资源执行者,被委派去执行资源的相关操作。
- 操作权限,可以对资源进行的某种操作。
- 资源,有价值的信息或数据等,受到安全保护。
需要说明的是,资源所有者和执行者可以是自然人,就是普通用户,但不限于自然人。在信息安全领域,资源所有者和执行者,很多时候是应用程序或者机器。比如用户在浏览器上登录一个网站,那么这个浏览器就成为一个执行者,它在用户登录后获取了用户的授权,代表着用户执行各种指令,进行购物、下单、付钱、转账等等操作。
同时,资源所有者和执行者可以是分开的不同实体,也可以是同一个。若是分开的两者,则资源执行者是以资源所有者的代理形式而存在。
授权的实现方式非常多也很广泛,我们常见的银行卡、门禁卡、钥匙、公证书,这些都是现实生活中授权的实现方式。其实现方式主要通过一个共信的媒介完成,这个媒介不可被篡改,不可随意伪造,很多时候需要受保护,防止被窃取。
在互联网应用开发领域,授权所用到的授信媒介主要包括如下几种,
- 通过web服务器的session机制,一个访问会话保持着用户的授权信息
- 通过web浏览器的cookie机制,一个网站的cookie保持着用户的授权信息
- 颁发授权令牌(token),一个合法有效的令牌中保持着用户的授权信息
前面两者常见于web开发,需要有浏览器的支持。
3. 鉴权
鉴权是指对于一个声明者所声明的身份权利,对其所声明的真实性进行鉴别确认的过程。在英文中对应于authentication这个单词。
鉴权主要是对声明者所声明的真实性进行校验。若从授权出发,则会更加容易理解鉴权。授权和鉴权是两个上下游相匹配的关系,先授权,后鉴权。授权和鉴权两个词中的“权”,是同一个概念,就是所委派的权利,在实现上即为授信媒介的表达形式。
因此,鉴权的实现方式是和授权方式有一一对应关系。对授权所颁发授信媒介进行解析,确认其真实性。下面是鉴权的一些实现方式,
- 门禁卡:通过门禁卡识别器
- 钥匙:通过相匹配的锁
- 银行卡:通过银行卡识别器
- 互联网web开发领域的session/cookie/token:校验session/cookie/token的合法性和有效性
鉴权是一个承上启下的一个环节,上游它接受授权的输出,校验其真实性后,然后获取权限(permission),这个将会为下一步的权限控制做好准备。
4. 权限控制
权限控制是指对可执行的各种操作组合配置为权限列表,然后根据执行者的权限,若其操作在权限范围内,则允许执行,否则禁止。权限控制在英文中对应于access/permission control。
对于权限控制,可以分为两部分进行理解:一个是权限,另一个是控制。权限是抽象的逻辑概念,而控制是具体的实现方式。
先看权限(Permission),这是一个抽象的概念,一般预先定义和配置好,以便控制的具体实现。权限的定义,若简单点,可以直接对应于一个可执行的操作集合。而一般情况下,会有基于角色的方式来定义权限,由角色来封装可执行的操作集合。
若以门禁卡的权限实现为例,上述两种定义方式则可以各自表达为,
- 这是一个门禁卡,拥有开公司所有的门的权限
- 这是一个门禁卡,拥有管理员角色的权限,因而可以开公司所有的门
可以看到,权限作为一个抽象的概念,将执行者和可具体执行的操作相分离。
在上文的讨论中,鉴权的输出是权限(Permission)。一旦有了权限,便知道了可执行的操作,接下来就是控制的事情了。
对于控制,是根据执行者的权限,对其所执行的操作进行判断,决定允许或禁止当前操作的执行。现实生活中控制的实现方式,多种多样,
- 门禁:控制门的开关
- 自行车锁:控制车轮
- 互联网web后端服务:控制接口访问,允许或拒绝访问请求
5. 认证、授权、鉴权和权限控制的关系
认证、授权、鉴权和权限控制这四个环节是一个前后依次发生、上下游的关系,
认证-->授权-->鉴权-->权限控制
需要说明的是,这四个环节在有些时候会同时发生。 例如在下面的几个场景,
- 使用门禁卡开门:认证、授权、鉴权、权限控制四个环节一气呵成,在瞬间同时发生
- 用户的网站登录:用户在使用用户名和密码进行登录时,认证和授权两个环节一同完成,而鉴权和权限控制则发生在后续的请求访问中,比如在选购物品或支付时。
无论怎样,若从时间顺序方面来看,这四个环节是按时间前后、依次相继发生的关系。
6. 认证和鉴权的关系
这两个概念在很多时候是被混淆最多的概念。被混淆的主要原因,如上文所述,很多时候认证、授权、鉴权和权限控制一同发生,以至于被误解为,认证就是鉴权,鉴权就是认证。
其实两者是不一样的概念,两者都有对身份的确认过程,但是两者的主要区别在于,
- 认证是确认声明者的本身身份,其作为授权的上游衔接而存在
- 鉴权是对声明者所声明的真实性进行确认的过程,其作为授权的下游衔接而存在
7. 小结
下面对本文讨论的四个概念用一个表格进行小结,
|
定义 |
英文 |
实现方式 |
|
|
认证 |
确认声明者的身份 |
identification |
根据声明者独特的识别信息 |
|
授权 |
获取用户的委派权限 |
authorization |
颁发一个授信媒介,不可被篡改,不可伪造,受保护 |
|
鉴权 |
对所声明的权限真实性进行鉴别的过程权限是一个抽象的逻辑概念,定义和配置可执行的操作,而控制是具体的实现方式,通过一定的方式控制操作的允许和禁止 |
authentication |
鉴权和授权是一一对应关系,解析授信媒介,确认其合法性、有效性 |
|
权限控制 |
权限是一个抽象的逻辑概念,定义和配置可执行的操作,而控制是具体的实现方式,通过一定的方式控制操作的允许和禁止 |
access/permission control |
实现方式多样,根据具体情况来实现。 |
认证、授权、鉴权和权限控制概念区别相关推荐
- 认证、授权、鉴权和权限控制
原文地址 https://www.cnblogs.com/badboyh2o/p/11068779.html 如有侵权,请联系删除,谢谢! 本文将对信息安全领域中认证.授权.鉴权和权限控制这四个概念给 ...
- 【NET CORE微服务一条龙应用】第三章 认证授权与动态权限配置
[NET CORE微服务一条龙应用]第三章 认证授权与动态权限配置 介绍 系列目录:[NET CORE微服务一条龙应用]开始篇与目录 在微服务的应用中,统一的认证授权是必不可少的组件,本文将介绍微服务 ...
- RBAC、控制权限设计、权限表设计 基于角色权限控制和基于资源权限控制的区别优劣
RBAC.控制权限设计.权限表设计 基于角色权限控制和基于资源权限控制的区别优劣 一.介绍 二.基于角色的权限设计 三.基于资源的权限设计 四.主体.资源.权限关系图 主体.资源.权限相关的数据模型 ...
- Spring Security 实战干货: RBAC权限控制概念的理解
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | 码农小胖哥 来源 | 公众号「码农小胖哥」 1 ...
- Kafka系列(五)、开启SASL安全认证以及配置ACL权限控制
目录 开启SASL 控制台配置用户 ACL授权 Python客户端访问 ACL常用命令 Kafka系列: kafka 2.4.1单机版部署及使用 kafka监控系统kafka eagle安装使用 滴滴 ...
- 认证、授权、鉴权、权限控制
目录 0x01 概念 0x02 前端-后端授权/鉴权方案 2.1 Http Basic Authentication 2.2 session-cookie 2.3 token 2.4 JWT(Json ...
- 吊打面试官系列之:什么是 认证、鉴权、授权、权限控制,这一篇必须安排的明明白白。
鉴权方案 1.引言 2.鉴权方案 2.1 认证 2.2 鉴权 2.3 授权 2.4 权限控制 2.5 认证,鉴权,授权及权限控制的关系 3.总结 1.引言 小屌丝:鱼哥,啥是认证,啥是鉴权? 小鱼:嗯 ...
- 【Spring Cloud Alibaba 实战 | 总结篇】Spring Cloud Gateway + Spring Security OAuth2 + JWT 实现微服务统一认证授权和鉴权
一. 前言 hi,大家好~ 好久没更文了,期间主要致力于项目的功能升级和问题修复中,经过一年时间这里只贴出关键部分代码的打磨,[有来]终于迎来v2.0版本,相较于v1.x版本主要完善了OAuth2认证 ...
- 「springcloud 2021 系列」Spring Cloud Gateway + OAuth2 + JWT 实现统一认证与鉴权
通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权. 将采用 Nacos 作为注册中心,Gateway 作为网关,使用 nimbus-jose-jwt JWT 库操作 JWT 令牌 理论介绍 ...
最新文章
- leetcode-135 分发糖果
- Yacc 与 Lex 快速入门(词法分析和语法分析)
- 自定义ClassLoader和双亲委派机制
- jquery template.js前端模板引擎
- apollo源码分析 感知_Scikit-Learn 源码研读 (第一期)项目结构介绍
- tomcat war包解压规则
- 虹科案例 | 移动运营商:使用手持式频谱仪进行干扰检测
- 中间状态+三方预约下单接口测试项目
- 前端目标——天猫网页
- FOTA升级差分包编译服务器搭建
- 怎么把win10退回win7系统
- win10系统许可证即将过期的解决方法
- PPT、word破解加密文档
- 百度名词~杂篇--(对日常遇到事物的深入了解)
- R语言|clusterprofile超几何分布富集分析 GO,KEGG富集分析,循环Fisher‘s test
- 刷题记录:牛客NC15036了断局
- 成立大数据公司 新华三“数据引擎”要干些什么事?
- Linux软件源更新地址
- 福州大学至诚学院计算机系,福州大学至诚学院计算机工程系
- 第一篇:为什么需要小波变换