Begge udtryk bruges ofte i forbindelse med hinanden med hensyn til sikkerhed, især når det kommer til at få adgang til systemet. Begge er meget vigtige emner, der ofte er forbundet med internettet som centrale dele af dens serviceinfrastruktur. Imidlertid er begge udtryk meget forskellige med helt forskellige koncepter. Selv om det er sandt, at de ofte bruges i samme kontekst med det samme værktøj, er de helt adskilte fra hinanden.
Autentificering betyder at bekræfte din egen identitet, mens godkendelse betyder at give adgang til systemet. Enkelt sagt er autentificering processen med at verificere, hvem du er, mens autorisation er processen med at verificere, hvad du har adgang til.
Autentificering handler om at validere dine legitimationsoplysninger som brugernavn / bruger-id og adgangskode for at bekræfte din identitet. Systemet bestemmer, om du er det, du siger, at du bruger dine legitimationsoplysninger. I offentlige og private netværk autentificerer systemet brugeridentiteten via login-adgangskoder. Autentificering udføres normalt ved hjælp af et brugernavn og adgangskode og undertiden sammen med faktorer for autentificering, der henviser til de forskellige måder, der kan autentificeres.
Godkendelsesfaktorer bestemmer de forskellige elementer, som systemet bruger til at verificere ens identitet, inden de giver ham adgang til alt fra adgang til en fil til anmodning om en banktransaktion. En brugers identitet kan bestemmes af hvad han ved, hvad han har eller hvad han er. Når det kommer til sikkerhed, skal mindst to eller alle de tre godkendelsesfaktorer verificeres for at give nogen adgang til systemet.
Baseret på sikkerhedsniveauet kan godkendelsesfaktoren variere fra et af følgende:
Når du for eksempel indtaster dit ATM-kort i ATM-maskinen, beder maskinen dig om at indtaste din pin. Når du har indtastet stiften korrekt, bekræfter banken derefter din identitet, at kortet virkelig tilhører dig, og at du er den retmæssige ejer af kortet. Ved at validere din ATM-kortnål, verificerer banken faktisk din identitet, der kaldes godkendelse. Den identificerer blot, hvem du er, intet andet.
Tilladelse sker på den anden side, efter at din identitet er godkendt af systemet, hvilket i sidste ende giver dig fuld tilladelse til at få adgang til ressourcer som information, filer, databaser, midler, placeringer, næsten alt. Kort sagt bestemmer autorisation din evne til at få adgang til systemet og i hvilket omfang. Når din identitet er verificeret af systemet efter vellykket godkendelse, er du derefter autoriseret til at få adgang til systemets ressourcer.
Autorisation er processen til at bestemme, om den godkendte bruger har adgang til de bestemte ressourcer. Det verificerer dine rettigheder til at give dig adgang til ressourcer som information, databaser, filer osv. Autorisation kommer normalt efter godkendelse, som bekræfter dine privilegier til at udføre. Enkelt sagt er det som at give nogen officiel tilladelse til at gøre noget eller noget.
For eksempel kaldes processen med at verificere og bekræfte medarbejdernes ID og adgangskoder i en organisation godkendelse, men bestemme, hvilken medarbejder der har adgang til, hvilken etage kaldes tilladelse. Lad os sige, at du rejser, og du skal ombord på en flyvning. Når du viser din billet og en vis identifikation, før du tjekker ind, modtager du et boardingpas, der bekræfter, at lufthavnsmyndigheden har godkendt din identitet. Men det er det ikke. En flyvning må give dig tilladelse til at gå ombord på den flyvning, du skal flyve på, så du får adgang til indersiden af flyet og dets ressourcer.
Adgang til et system er beskyttet af både godkendelse og godkendelse. Ethvert forsøg på at få adgang til systemet kan autentificeres ved at indtaste gyldige legitimationsoplysninger, men det kan kun accepteres efter godkendt godkendelse. Hvis forsøget er godkendt, men ikke autoriseret, nægter systemet adgang til systemet.
Godkendelse | Bemyndigelse |
Autentificering bekræfter din identitet for at give adgang til systemet. | Autorisation bestemmer, om du er autoriseret til at få adgang til ressourcerne. |
Det er processen med validering af brugeroplysninger for at få brugeradgang. | Det er processen med at kontrollere, om adgang er tilladt eller ej. |
Det bestemmer, om brugeren er, hvad han hævder at være. | Det bestemmer, hvad bruger kan og ikke får adgang til. |
Autentificering kræver normalt et brugernavn og en adgangskode. | Godkendelsesfaktorer, der kræves til tilladelse, kan variere afhængigt af sikkerhedsniveauet. |
Autentificering er det første trin af autorisation, så det kommer altid først. | Autorisation udføres efter vellykket godkendelse. |
For eksempel kræves det, at studerende på et bestemt universitet skal autentificere sig, før de får adgang til studenterlinket på universitetets officielle websted. Dette kaldes godkendelse. | For eksempel bestemmer autorisation nøjagtigt, hvilke oplysninger de studerende har tilladelse til at få adgang til på universitetswebstedet efter vellykket godkendelse. |
Selvom begge udtryk ofte bruges i forbindelse med hinanden, har de helt forskellige begreber og betydninger. Selvom begge koncepter er af afgørende betydning for infrastruktur for webtjenester, især når det gælder at give adgang til et system, er forståelse af hvert enkelt udtryk med hensyn til sikkerhed nøglen. Mens de fleste af os forveksler et begreb med et andet, er det vigtigt at forstå den nøgleforskel, som faktisk er meget enkel. Hvis godkendelse er den, du er, er autorisation det, du kan få adgang til og ændre. Kort sagt bestemmer autentificering, om nogen er den, han hævder at være. Tilladelse bestemmer derimod hans rettigheder til adgang til ressourcer.