认证 (authentication) 和授权 (authorization) 的区别

郑全

经常看到这两个词，傻傻的分不清楚，一会认证中心，一会授权中心，下面的解释看能否帮助我们分清：


认证意味着确认自己的身份，而授权意味着授予对系统的访问权限。简单来说，认证是验证身份的过程，而授权是验证有权访问的过程


认证认证是关于验证凭据，如用户名/用户ID和密码，以验证身份。系统确定凭据是否正确。在公共和专用网络中，系统通过登录密码验证用户身份。认证通常通过用户名和密码完成，有时与认证因素结合使用，后者指的是认证的多种方式。

• 单因素 身份验证
  这是最简单的身份验证方法，通常依赖于简单的密码来授予用户对特定系统（如网站或网络）的访问权限。此人可以仅使用其中一个凭据请求访问系统以验证其身份。单因素身份验证的最常见示例是登录凭据，其仅需要针对用户名的密码
• 双因素身份验证
  顾名思义，它是一个两步验证过程，不仅需要用户名和密码，还需要用户知道的东西，以确保更高级别的安全性，例如ATM引脚，用户知道。使用用户名和密码以及额外的机密信息，欺诈者几乎不可能窃取有价值的数据
• 多重身份验证
  最先进的身份验证方法，它使用来自独立身份验证类别的两个或更多级别的安全性来授予用户对系统的访问权限。所有因素应相互独立，以消除系统中的任何漏洞。金融机构，银行和执法机构使用多因素身份验证来保护其数据和应用程序免受潜在威胁
  

授权授权发生在系统成功认证身份后，最终会授予访问资源（如信息，文件，数据库，资金，位置，几乎任何内容）的完全权限。简单来说，授权决定了访问系统的能力以及达到的程度。
对系统的访问受身份验证和授权的保护。可以通过输入有效凭证来验证访问系统的任何尝试，但只有在成功授权后才能接受。如果尝试已通过身份验证但未获得授权，系统将拒绝访问系统。