认证和授权有什么区别?

最新推荐文章于 2024-05-29 13:35:14 发布
最新推荐文章于 2024-05-29 13:35:14 发布
阅读量3.4k 收藏 1
点赞数 1
分类专栏: 2020
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nonocast/article/details/104740780
版权
Authentication (认证): 你是谁?Authorization (授权): 你能干什么?比如你去酒店开房,你需要拿身份证办理Check in,这是一个认证过程,身份证和密码的功效是一样的证明了你是谁,前台给你的房卡表示授权你开302房间,你不能用身份证去开别人房间吧,这就是认证和授权的区别。整个授权过程有2个重要的概念:rolescope (permission) 两...
摘要由CSDN通过智能技术生成
  • Authentication (认证): 你是谁?
  • Authorization (授权): 你能干什么?

比如你去酒店开房,你需要拿身份证办理Check in,这是一个认证过程,身份证和密码的功效是一样的证明了你是谁,前台给你的房卡表示授权你开302房间,你不能用身份证去开别人房间吧,这就是认证和授权的区别。

整个授权过程有2个重要的概念:

  • role
  • scope (permission) 两个词汇同一概念,我们暂时用scope来表示

从零开始

我们写了两个api, 分别都需要认证,

let users = [
  {
    id: 1, name: 'foo' },
  {
    id: 2, name: 'bar' }
];

/**
 * List all users
 * auth: required
 */
router.get('/users', auth(), async ctx => {
   
  ctx.body = users;
});

/**
 * Update user
 * auth: required
 */
router.patch('/users/:id', auth(), async ctx => {
   
  let target = null;
  try {
   
    target = _.find(users, x => x.id === Number.parseInt(ctx.params.id));
    target.name = target.name.toUpperCase();
    ctx.body = target;
  } catch (error) {
   
    ctx.throw(404, error);
  }
});

这里mock了一个auth的middleware,完成用户foo的认证,

let auth = () => {
   
  return async (ctx, next) => {
   
    ctx.user = {
    name: 'foo' };
    await next();
  }
};

这个时候我们来了一个需求,普通用户可以查看所有用户,但只有管理员可以修改用户,给user加上role [user | admin], 然后在api中判断一下就搞定了,


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  nonocast
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  2
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
通信网认证协议和认证算法.pptx

				
			

			

				

					11-14
				

			

		

		

			
				
通信网认证协议和认证算法是确保网络通信安全的关键技术,主要目标是验证通信双方的身份,防止假冒和非授权访问。本章主要分为四个部分:通信安全认证协议、网络安全认证协议、认证算法以及相关协议的详细解释。  ...

			
		

	



                

              
                



	

		

			

				
					
Azure Active Directory Application Permission VS Delegate Permission

				
			

			

				

					WelcomeBack
				

				

					03-15
					
					868
					
				

			

		

		

			
				
Use Reference:
https://msdn.microsoft.com/en-us/library/azure/ad/graph/howto/azure-ad-graph-api-permission-scopes





个人理解:
Application Permission是使用了应用程序的权限,所有的用户都使用应用程序的权限
Delegate Permiss

			
		

	



                


  
              

                


	

		

			

				
					
认证授权

				
			

			

				

					顺其自然~专栏
				

				

					02-08
					
					3145
					
				

			

		

		

			
				
在开发或者管理一个应用程序的时候,我们往往会看到两个名词——认证授权,在英文中这两个词更为相近 —— authentication 和 authorization。尽管这两个术语经常出现在相同的上下文中,但是两者在概念上是非常不同的。

认证意味着确认你自己的身份,而授权意味着授予对系统的访问权限。简单来说,认证是验证你的身份的过程,而授权是验证你有权访问的过程。

什么是认证

认证是关于验证你的凭据,如用户名/邮箱和密码,以验证访问者的身份。系统确定你是否就是你所说的使用凭据。在公共和专用网络中,系统

			
		

	





	

		

			

				
					
认证授权详解

					
最新发布

				
			

			

				

					白帽子佳奇的博客
				

				

					05-29
					
					1155
					
				

			

		

		

			
				
当资源服务器只依赖自包含令牌提供的信息来校验access_token时(真正的无状态令牌验证机制),授权服务器无法影响资源服务器对access_token的校验,只能删除自己数据库中的refresh_token,当客户机应用使用此refresh_token申请新的access_token时,授权服务器将不予签发,而对于之前已签发的access_token,只能等待其自行到期。1、读库令牌:access token值是一个随机生成的标识符,在数据库中存储有效期,谁颁发的,颁发给谁的,权限范围等元数据信息。

			
		

	



		

			
		



	

		

			

				
					
认证授权、鉴权、权限控制

					
热门推荐

				
			

			

				

					weixin_35016347的博客
				

				

					09-24
					
					1万+
					
				

			

		

		

			
				
相关概念
几个易混淆的个概念:

认证(Identification): 根据声明者持有的特定信息,来确认声明者的身份

例如身份证、用户名/密码、手机(包括短信、二维码、手势密码)、电子邮箱、生物特征(虹膜、面部、指纹、语音等)
高安全要求的场景下,会使用多种认证方式组合进行身份校验,即多因素认证


授权(Authorization): 资源所有者委派执行者,赋予其指定范围的权限,执行对资源的操作

授权实体例如银行卡、门禁卡、钥匙、证书等
例如web服务的session机制、浏览器的cookie机制、

			
		

	





	

		

			

				
					
uses-permissionpermission区别及使用

				
			

			

				

					帅次的博客
				

				

					08-27
					
					3673
					
				

			

		

		

			
				
uses-permissionpermission区别、uses-permission(权限申请)、permission(自定义权限)、permission-group(自定义权限组)、Android权限大全。

			
		

	





	

		

			

				
					
我的手摸着你的手来搞懂什么是授权认证

				
			

			

				

					qq_44005305的博客
				

				

					02-14
					
					1399
					
				

			

		

		

			
				
用户认证,就是验证此用户的身份。解决的是‘我是谁’的问题。就是从用户请求信息中获取用户信息的过程,认证是一个过程。举个栗子🌰:当你在登录时,输入用户名密码,系统判断你的用户名与密码是否在已有的用户内并给出结果反馈,这个过程就是用户认证。用户名+密码登录,手机、邮箱验证码,第三方登录等都属于用户认证的一种。凭证实现认证授权的前提是需要一种**媒介(证书)**来标记访问者的身份,这个媒介(证书)就是凭证。

			
		

	





	

		

			

				
					
4A和堡垒机的关系与区别

				
			

			

				

					11-08
				

			

		

		

			
				
4A,即账号(Account)、认证(Authentication)、授权(Authorization)和审计(Auditing),是一种身份和访问管理(IAM)框架,旨在实现对IT资源的集中、统一和安全的管理。而堡垒机则是一种专门用于运维管控和审计的网络...

			
		

	





	

		

			

				
					
双向认证和单向认证双向认证和单向认证

				
			

			

				

					08-07
				

			

		

		

			
				
单向认证与双向认证区别在于安全级别和实施复杂度。单向认证在许多情况下足够安全,尤其是对于公共网站,因为它降低了用户的配置负担。而双向认证虽然提供了更高级别的安全保障,但可能导致用户体验下降,因为...

			
		

	





	

		

			

				
					
服务器授权模式每服务器同时连接数与每设备或每用户的区别小结

				
			

			

				

					01-11
				

			

		

		

			
				
服务器授权模式每服务器,同时连接数与每设备或每用户的区别每服务器认证:指允许服务可以同时有多少个并发客户端用户访问的数量;每客户认证:指你的每个客户端都有认证许可,客户端通过这个认证访问服务器;举例...

			
		

	





	

		

			

				
					
03-登录和第三方授权1

				
			

			

				

					08-03
				

			

		

		

			
				
**登录与授权区别**  登录是身份认证的过程,它验证用户的身份,确保“你是你”。授权则是确认用户凭据(如用户名、密码或令牌)所赋予的权限,例如获取用户信息。在大多数实际场景中,登录包含了权限确认的步骤,...

			
		

	





	

		

			

				
					
认证授权基础概念详解

				
			

			

				

					m0_53157173的博客
				

				

					10-19
					
					971
					
				

			

		

		

			
				
Cookie和Session都是用来跟踪浏览器用户身份的会话方式,但是两者的应用场景不太一样。维基百科是这样定义CookieCookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。简单来说: Cookie存放在客户端,一般用来保存用户信息。下面是Cookie我们在Cookie中保存已经登录过的用户信息,下次访问网站的时候页面可以自动帮你登录的一些基本信息给填了。除此之外,Cookie还能保存用户首选项,主题和其他设置信息。使用Cookie保存SessionId或者。

			
		

	





	

		

			

				
					
认证 (authentication) 和授权 (authorization) 的区别

				
			

			

				

					weixin_30852367的博客
				

				

					08-08
					
					2638
					
				

			

		

		

			
				
以前一直分不清 authentication 和 authorization,其实很简单,举个例子来说:
你要登机,你需要出示你的 passport 和 ticket,passport 是为了证明你张三确实是你张三,这就是 authentication;而机票是为了证明你张三确实买了票可以上飞机,这就是 authorization。

在 computer science 领域再举个例子:...

			
		

	





	

		

			

				
					
Exchange Server 2013 共享邮箱

				
			

			

				

					weixin_33877092的博客
				

				

					04-09
					
					376
					
				

			

		

		

			
				
1.何为共享邮箱共享邮箱是一种没有自身用户名和密码的用户邮箱。因此,用户无法直接登录该邮箱。若要访问共享邮箱,必须先授予用户对邮箱的“代理发送”或“完全访问”权限。完成此操作后,用户便可登录自己的邮箱,然后通过将共享邮箱添加到其 Outlook 的个人资料中,即可访问共享邮箱。1.1 共享邮箱包含以下三种不同的权限完全访问权限:“完全访问权限”权限允许用户登录共享邮箱并作为该邮箱的所有者。发送为:...

			
		

	





	

		

			

				
					
认证授权、鉴权和权限控制

				
			

			

				

					songjuntao8的专栏
				

				

					08-13
					
					827
					
				

			

		

		

			
				
认证

认证是指确认声明者的身份。对应英文 identification 单词。

常见的认证方式:

身份证
	用户名和密码
	手机:手机短息、二维码扫描、手势密码
	电子邮箱
	用户的生物学特征:指纹、虹膜
	等等
授权

指获取用户的委派权限。对应英文 authorization 单词。

在信息安全领域,授权是指资源所有者委派执行者,赋予执行者指定范围的资源操作权限。

资源所有者:拥有资源的所有权限,一般就是资源的拥有者
	资源执行者:被委派去执行资源的相关操作
	操作权限:可以对资源进行的某种操

			
		

	





	

		

			

				
					
如何利用SpringSecurity进行认证授权

				
			

			

				

					qq_63218110的博客
				

				

					02-14
					
					4185
					
				

			

		

		

			
				
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证授权等方面的介绍,还涉及一些简单的自定义授权校验方法。

			
		

	





	

		

			

				
					
打开一个有delegation的文件(权限没有冲突)

				
			

			

				

					ycnian
				

				

					03-04
					
					1209
					
				

			

		

		

			
				
这篇文章中我们讨论这样一种情况:假设用户user1以只读权限打开了文件file1,并且服务器为这个文件分配了delegation。现在用户user2用样以只读权限打开文件file1,那么user2打开文件的过程是什么样的呢?是否还需要向服务器发送OPEN请求?
    和前一篇文章相似,客户端仍然需要创建一个RPC任务,在发送OPEN请求报文前执行函数nfs4_open_prepare(),我们

			
		

	





	

		

			

				
					
3.Iscsi启用认证和未启用认证有何区别

				
			

			

				

					05-09
				

			

		

		

			
				
iSCSI是一种基于网络的存储协议,它允许将存储资源映射到远程计算机上。iSCSI可以启用认证和未启用认证两种模式。...因此,启用认证可以提高iSCSI存储设备的安全性,防止未经授权的访问和数据泄露。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值