696 votes

daGrevis avatar

Authentification et autorisation

Demandé el 2 de Juillet, 2011
Quand la question a-t-elle été
20794 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Quelle est la différence dans le contexte des applications web ? Je vois souvent l'abréviation "auth". Signifie-t-elle authentification -enticulation ou authentification -Organisation ? Ou est-ce les deux ?

Demandé el 2 de Juillet, 2011 par daGrevis

81 votes

Avatar de Onur Yıldırım

Rappelez-vous ceci : l'authentification vérifie les informations d'identification, l'autorisation vérifie les permissions.

Commenté el 23 de Avril, 2017 par Onur Yıldırım

1 votes

Avatar de Paul Stenne

Duplicate cross-site : serverfault.com/q/57077

Commenté el 9 de Janvier, 2019 par Paul Stenne

1 votes

Avatar de jdf

Récemment pour les abréviations que j'ai vu authn pour l'authentification et authz pour l'autorisation

Commenté el 15 de Janvier, 2019 par jdf
Afficher 1 autres commentaires

Réponses

Trop de publicités?

934voto

Kerrek SB avatar
Kerrek SB Points 194696

Authentification est le processus qui permet de s'assurer que quelqu'un est réellement ce qu'il prétend être.

Autorisation fait référence aux règles qui déterminent qui est autorisé à faire quoi. Par exemple, Adam peut être autorisé à créer et à supprimer des bases de données, alors qu'Oussama est seulement autorisé à lire.

Les deux concepts sont totalement orthogonaux et indépendants, mais ambos sont au cœur de la conception de la sécurité, et l'absence de l'un ou l'autre ouvre la voie à la compromission.

En termes d'applications web, très grossièrement, l'authentification consiste à vérifier les informations de connexion pour voir si vous reconnaissez un utilisateur comme étant connecté, et l'autorisation consiste à vérifier dans votre contrôle d'accès si vous autorisez l'utilisateur à visualiser, modifier, supprimer ou créer du contenu.

Répondu el 2 de Juillet, 2011 par Kerrek SB (194696 Points )

44 votes

Avatar de Timo

Les définitions semblent correctes, mais elles ne semblent certainement pas indépendantes. Tel que défini, ne autorisation également sous-entend authentification ? Comment pouvez-vous autoriser l'opération de suppression de la base de données d'Adam si vous doutez qu'il es Adam ? Autrement dit, si l'opération de suppression d'Adam est autorisée, il est à espérer que cela implique qu'Adam est authentifié.

Commenté el 20 de Octobre, 2017 par Timo

10 votes

Avatar de Kerrek SB

@Timo : Une application voudra vraisemblablement faire les deux, mais ce sont des concepts orthogonaux de toute façon. Votre patron pourrait passer en revue les autorisations du personnel pour accéder aux composants critiques de l'entreprise, au jet de la société et au réfrigérateur à bière sans se préoccuper de savoir quel individu particulier sur le flux CCTV correspond aux noms dans la feuille de calcul. Ce dernier point serait la préoccupation du garde de sécurité.

Commenté el 20 de Octobre, 2017 par Kerrek SB

1 votes

Avatar de David Brossard

Les concepts sont définitivement orthogonaux. L'authentification ne consiste pas nécessairement à prouver votre identité. Elle peut être la preuve d'une affirmation sur vous-même, par exemple votre âge. Lorsque vous buvez, vous authentifiez votre âge en montrant une pièce d'identité. Ensuite, vous pouvez être autorisé à boire en fonction de votre âge et de la juridiction dans laquelle vous vous trouvez (vous pouvez boire si vous avez >21 ans aux États-Unis et >18 ans en Europe).

Commenté el 17 de Novembre, 2018 par David Brossard
Afficher 7 autres commentaires

720voto

Geo avatar
Geo Points 971

En bref, s'il vous plaît :-)

Authentification \= login + mot de passe (qui vous êtes)

Autorisation \= permissions (ce que vous êtes autorisé à faire)

Le terme "auth" est plus susceptible de se référer soit à la première, soit aux deux.

Répondu el 17 de Décembre, 2013 par Geo (971 Points )

7 votes

Avatar de devansvd

Sucré comme un morceau de gâteau :)

Commenté el 13 de Février, 2018 par devansvd

0 votes

Avatar de King

J'aime ça, court et gentil.

Commenté el 14 de Décembre, 2018 par King

10 votes

Avatar de Jens

Alors je ne comprends toujours pas pourquoi un En-tête d'autorisation HTTP transporte des informations d'authentification N'est-ce pas une dénomination malheureuse ?

Commenté el 16 de Avril, 2019 par Jens
Afficher 3 autres commentaires

86voto

Sebastian Paaske Tørholm avatar
Sebastian Paaske Tørholm Points 22908

Comme Authentification et autorisation le met :

Authentification est le mécanisme par lequel les systèmes peuvent identifier en toute sécurité leurs utilisateurs. Les systèmes d'authentification fournissent une réponse aux questions :

  • Qui est l'utilisateur ?
  • L'utilisateur est-il vraiment celui qu'il prétend être ?

Autorisation En revanche, le terme " mécanisme " désigne le mécanisme par lequel un système détermine quel niveau d'accès un utilisateur particulier utilisateur authentifié doit avoir accès à ressources sécurisées contrôlées par le système. Par exemple, un système de base de données peut être conçu de manière à afin de fournir à certaines personnes individus spécifiés la possibilité de d'extraire des informations d'une base de données mais pas la capacité de modifier les données données stockées dans la base de données, tout en donnant d'autres personnes la capacité de modifier les données. Les systèmes d'autorisation fournissent des réponses à ces questions :

  • L'utilisateur X est-il autorisé à accéder à ressource R ?
  • L'utilisateur X est-il autorisé à effectuer l'opération P ?
  • L'utilisateur X est-il autorisé à effectuer l'opération P sur ressource R ?

Voir aussi :

Répondu el 2 de Juillet, 2011 par Sebastian Paaske Tørholm (22908 Points )

40voto

Aditya Mittal avatar
Aditya Mittal Points 21

Je préfère Vérification y Permissions à l'authentification et à l'autorisation.

Il est plus facile dans ma tête et dans mon code de penser à la "vérification" et aux "permissions" parce que les deux mots

  • ne se ressemblent pas
  • n'ont pas la même abréviation

L'authentification est la vérification et l'autorisation est la vérification de la ou des permissions. Auth peut signifier l'un ou l'autre, mais est plus souvent utilisé comme "User Auth", c'est-à-dire "Authentification de l'utilisateur".

Répondu el 16 de Janvier, 2016 par Aditya Mittal (21 Points )

17voto

Kjartan avatar
Kjartan Points 5805

Cette confusion est compréhensible, car les deux mots ont une consonance similaire et les concepts sont souvent étroitement liés et utilisés ensemble. De plus, comme mentionné, l'abréviation couramment utilisée Auth n'aide pas.

D'autres ont déjà bien décrit ce que signifient l'authentification et l'autorisation. Voici une règle simple qui permet de distinguer clairement les deux :

  • Auth tout La certification valide votre identité tout ty (ou authenticité si vous préférez)
  • Auteur La validation valide votre auteur ity, c'est-à-dire votre droit d'accéder à quelque chose et éventuellement de le modifier.
Répondu el 23 de Mai, 2018 par Kjartan (5805 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X