Chủ Nhật, 7 tháng 7, 2024

Authorization vs. Authentication

 Hai thuật ngữ "Authorization" (ủy quyền) và "Authentication" (xác thực) thường được sử dụng trong lĩnh vực bảo mật thông tin.

Authentication (Xác thực)

  • Authentication là quá trình xác minh danh tính của một người dùng hoặc hệ thống để đảm bảo rằng họ là chính họ tuyên bố.
  • Authentication là bước đầu tiên trong quá trình bảo mật. Xác thực sử dụng các phương thức như mật khẩu, mã PIN, vân tay, nhận diện khuôn mặt, hoặc mã xác thực hai yếu tố. Mục tiêu là đảm bảo người dùng hoặc hệ thống truy cập là hợp lệ.
  • Ví dụ:
    • Người dùng nhập mật khẩu để đăng nhập vào tài khoản email.
    • Sử dụng mã xác thực gửi qua SMS để đăng nhập vào tài khoản ngân hàng trực tuyến.

Authorization" (ủy quyền)

  • Authorization là quá trình xác định và cấp quyền truy cập cho người dùng hoặc hệ thống đã được xác thực để thực hiện các hành động cụ thể hoặc truy cập vào các tài nguyên nhất định.
  • Authorization là bước tiếp theo sau khi xác thực thành công. Authorization quyết định những gì người dùng có thể làm và tài nguyên nào họ có thể truy cập. Mục tiêu là kiểm soát quyền truy cập và đảm bảo rằng người dùng chỉ có quyền truy cập vào những gì họ được phép.
  • Ví dụ:
    • Sau khi đăng nhập thành công, một nhân viên chỉ có quyền truy cập vào dữ liệu của phòng ban mình.
    • Một người dùng có quyền xem tài liệu nhưng không có quyền chỉnh sửa hoặc xóa tài liệu đó.

Sự khác biệt chính giữa Authorization và Authentication 

  • Xác thực diễn ra trước, sau đó mới đến ủy quyền.
  • Xác thực nhằm xác minh danh tính của người dùng hoặc hệ thống. Ủy quyền nhằm xác định quyền truy cập và hành động mà người dùng hoặc hệ thống được phép thực hiện.
  • Xác thực sử dụng các công cụ như mật khẩu, vân tay, nhận diện khuôn mặt. Ủy quyền sử dụng các chính sách, quyền hạn, và vai trò để kiểm soát truy cập.

(Nguồn: https://www.linkedin.com/pulse/what-difference-between-authentication-authorization)


Nguồn tham khảo

  • https://auth0.com/docs/get-started/identity-fundamentals/authentication-and-authorization
  • https://www.geeksforgeeks.org/difference-between-authentication-and-authorization/
-

Không có nhận xét nào:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)

Fraud Triangle

 Tam giác gian lận, tiếng Anh là fraud triangle , là một mô hình lý thuyết được sử dụng để giải thích hành vi gian lận trong các tổ chức. Mô...

  • Lời chào từ Tr Anh
     Tr Anh vui mừng chào đón bạn đến với trang blog "Mỗi ngày một điều mới cùng Tr Anh " Có một câu nói rằng: "Hành trình vạn dặ...
  • ChatGPT
      “Everything that can be automated will be automated” — Robert Cannon, Internet Law and Policy Expert   1.     ChatGPT là gì? ChatG...
  • WEB3 VÀ CÔNG NGHỆ BLOCKCHAIN
      1.  Web3 là gì Thuật ngữ Web3, còn được viết là web 3.0, được hình thành vào năm 2014 bởi nhà khoa học máy tính và đồng sáng tạo ethereu...