认证和授权的区别

信息安全对于几乎所有自动化系统都是必不可少的。身份验证和授权是这些系统中用于保护信息的两种机制。身份验证用于识别特定用户，以便让他访问系统。在向系统验证用户身份后，授权会提供必要的限制和用户拥有的访问权限。这些策略在防火墙或文件服务器上的访问控制列表中定义。授权仅适用于经过身份验证的用户。

认证、授权、系统安全

什么是认证

身份验证是证明用户身份的过程。身份验证是使用特定系统时必不可少的机制。如果没有适当的身份验证，很难识别用户。系统可以要求用户名和密码的组合。这组信息特定于某个用户，因为该信息仅属于该用户。他只有在提供正确的用户名和密码后才能访问系统。

图 1：身份验证过程

某些系统使用不同的身份验证类型，例如生物特征身份验证。这些系统使用人脸识别、眼睛识别、指纹识别，使用神经网络和计算机视觉等技术进行身份验证。总的来说，身份验证有助于保护关键和敏感的细节。

什么是授权

授权发生在身份验证过程完成后。授权确定授予经过身份验证的用户的权限。它检查用户是否有权访问资源。这些资源可以是文件管理器、目录或可通过 Internet 访问的内容。

用户通过访问列表获得访问权限。存在三种类型的访问列表：字典访问控制 (DAC)、基于角色的访问控制 (RBAC) 和强制访问控制 (MAC)。在字典访问控制中，资源的所有者可以完全控制谁可以访问资源。在基于角色的访问控制中，管理员根据用户的角色提供访问权限。例如，Windows 使用组来提供基于角色的访问控制。强制访问控制用于政府组织。它提供基于安全许可级别的访问。总的来说，授权确保只向经过身份验证的用户提供授权的权限。