Apakah ada perbedaan antara otentikasi dan otorisasi?

97

Saya melihat kedua istilah ini agak membingungkan (khususnya dalam skenario berbasis web tetapi saya kira itu tidak terbatas pada itu) dan saya bertanya-tanya apakah ada perbedaan atau tidak.

Tampak bagi saya bahwa keduanya berarti Anda diizinkan melakukan apa yang Anda lakukan. Jadi apakah ini hanya masalah nomenklatur, atau adakah perbedaan mendasar dalam arti?

security paxdiablo
sumber
3
Iya. Ada perbedaan besar . Wiki mengatakan apa? Dengan 148k, sekarang benar-benar ;-) Saya dapat Mengotentikasi bahwa Anda adalah Mata-mata Musuh (atau Private tanpa izin) tanpa memberi Anda otorisasi untuk mengakses Data Rahasia Teratas.
Ini perbedaan antara "asli" dan "resmi"; sayangnya keduanya disingkat menjadi "auth". Apache membedakannya dengan "authn" dan "authz".
tc.
Ini dijelaskan dengan sangat sederhana di sini: serverfault.com/a/57082/227016
Kuldeep Jain
Apakah ini menjawab pertanyaan Anda? Otentikasi versus Otorisasi
Løiten

Jawaban:

141

Memang ada perbedaan yang mendasar. Otentikasi adalah mekanisme di mana sistem dapat mengidentifikasi penggunanya dengan aman. Sistem otentikasi berusaha memberikan jawaban atas pertanyaan-pertanyaan:

  • Siapa penggunanya?
  • Apakah pengguna benar-benar seperti yang mereka klaim / wakili?

Sebaliknya, otorisasi adalah mekanisme yang digunakan sistem untuk menentukan tingkat akses apa yang harus dimiliki pengguna tertentu (terotentikasi) ke sumber daya yang dikendalikan oleh sistem. Untuk contoh yang mungkin atau mungkin tidak terkait dengan skenario berbasis web, sistem manajemen database mungkin dirancang sedemikian rupa untuk menyediakan individu tertentu dengan kemampuan untuk mengambil informasi dari database tetapi bukan kemampuan untuk mengubah data yang disimpan dalam database. database, sambil memberi individu lain kemampuan untuk mengubah data. Sistem otorisasi memberikan jawaban atas pertanyaan:

  • Apakah pengguna X berwenang untuk mengakses sumber daya R?
  • Apakah pengguna X diberi wewenang untuk melakukan operasi P?
  • Apakah pengguna X diberi wewenang untuk melakukan operasi P pada sumber daya R?

Steve Riley telah menulis esai yang cukup bagus tentang mengapa mereka harus tetap berbeda.

Michael Foukarakis
sumber
3
Otentikasi juga berlaku untuk hal-hal lain (misalnya MAC).
tc.
Esai yang Anda berikan Luar Biasa, terima kasih telah membagikannya.
Abdel-Raouf
43

Otentikasi mengacu pada verifikasi identitas entitas. Otorisasi berkaitan dengan apa yang diperbolehkan untuk dilakukan oleh entitas terotentikasi (misalnya izin file).

jpm
sumber
12

Intinya adalah:

  • Otentikasi berhubungan dengan validasi akun pengguna. Apakah ini pengguna yang valid? Apakah pengguna ini terdaftar di aplikasi kita ?. misal: Login
  • Otorisasi berkaitan dengan validasi akses pengguna ke fitur tertentu. Apakah pengguna ini memiliki otorisasi / hak untuk mengakses fitur ini? misalnya: Klaim, Peran
Moch Yusup
sumber
5

Autentikasi:

Otentikasi adalah proses memverifikasi identitas pengguna dengan mendapatkan semacam kredensial dan menggunakan kredensial tersebut untuk memverifikasi identitas pengguna. Jika kredensial valid, proses otorisasi dimulai. Proses otentikasi selalu berlanjut ke proses Otorisasi.

Otorisasi:

Otorisasi adalah proses yang mengizinkan pengguna yang diautentikasi untuk mengakses sumber daya dengan memeriksa apakah pengguna memiliki hak akses ke sistem. Otorisasi membantu Anda mengontrol hak akses dengan memberikan atau menolak izin khusus untuk pengguna yang diautentikasi.

Humoyun Ahmad
sumber
2

Dalam pengalaman saya, Otentikasi biasanya mengacu pada proses yang lebih teknis, yaitu Otentikasi pengguna (dengan memeriksa kredensial login / kata sandi, sertifikat, dll), sedangkan Otorisasi lebih banyak digunakan dalam Logika Bisnis aplikasi.

Misalnya, dalam aplikasi, pengguna mungkin masuk dan diautentikasi, tetapi tidak diizinkan untuk melakukan fungsi tertentu.

nageeb
sumber
1

Mengautentikasi pengguna di situs web berarti Anda memverifikasi bahwa pengguna ini adalah pengguna yang valid, yaitu memverifikasi siapa pengguna yang menggunakan nama pengguna / sandi atau sertifikat, dll. Secara umum, apakah orang tersebut diizinkan untuk memasuki gedung?

Otorisasi adalah proses memverifikasi apakah pengguna memiliki hak / izin untuk mengakses sumber daya atau bagian tertentu dari suatu situs web, misalnya, jika itu adalah CMS, maka pengguna berwenang untuk mengubah konten situs web. Dalam skenario gedung perkantoran, apakah pengguna diizinkan untuk memasuki ruang jaringan kantor.

Aziz Shaikh
sumber
1

Jika saya dapat masuk, kredensial saya diverifikasi dan saya RESMI. Jika saya dapat melakukan tugas tertentu, saya BERWENANG untuk melakukannya.

Puneet Pandey
sumber
1

Otentikasi memverifikasi siapa Anda dan Otorisasi memverifikasi apa yang diizinkan untuk Anda lakukan. Misalnya, Anda diizinkan untuk masuk ke server Unix Anda melalui klien ssh, tetapi Anda tidak diizinkan untuk menggunakan browser / data2 atau sistem file lainnya. Otorisasi terjadi setelah otentikasi berhasil ........

Bmw
sumber
0

Otentikasi memverifikasi siapa Anda dan Otorisasi memverifikasi apa yang diizinkan untuk Anda lakukan. Misalnya, Anda diizinkan untuk masuk ke server Unix Anda melalui klien ssh, tetapi Anda tidak diizinkan untuk menggunakan browser / data2 atau sistem file lainnya. Otorisasi terjadi setelah otentikasi berhasil.

vinit payal
sumber
0

Otentikasi: memverifikasi siapa pengguna.

Untuk mengotentikasi, pengguna memberikan informasi kredensial seperti nama pengguna dan kata sandi dan jika kredensial valid, pengguna menerima token yang dapat dikirim dengan permintaan di masa mendatang sebagai verifikasi otentikasi.

Otorisasi: menentukan apa yang pengguna diperbolehkan untuk melakukan.

Dari perspektif pengguna, otorisasi yang berhasil terjadi ketika dia dapat mengirim permintaan untuk mengakses sistem dan melakukan sesuatu (seperti mengunggah file ke dalam sistem) dan berhasil.

Autentikasi hanya memverifikasi identitas — ini mengonfirmasi bahwa pengguna adalah yang dia klaim. Otorisasi menentukan sumber daya mana yang dapat diakses oleh pengguna terverifikasi.

Smrity
sumber
0

Autentikasi

Otentikasi memverifikasi siapa Anda. Misalnya, Anda dapat login ke server Anda menggunakan klien ssh, atau mengakses server email Anda menggunakan klien POP3 dan SMTP.

Otorisasi

Otorisasi memverifikasi apa yang Anda berwenang untuk lakukan. Misalnya, Anda diizinkan untuk masuk ke server Anda melalui klien ssh, tetapi Anda tidak diizinkan untuk menggunakan browser / data2 atau sistem file lainnya. Otorisasi terjadi setelah otentikasi berhasil.

Bilali Hamisi
sumber
0

Otorisasi adalah proses di mana server menentukan apakah klien memiliki izin untuk menggunakan sumber daya atau mengakses file.

Otentikasi digunakan oleh server ketika server perlu tahu persis siapa yang mengakses informasi atau situs mereka.

Shankar Ghimire
sumber
0

Contoh real time sederhana, Jika siswa datang ke sekolah maka kepala sekolah memeriksa Otentikasi dan Otorisasi. Otentikasi: Periksa kartu ID pelajar itu berarti Dia milik sekolah kita atau bukan. Otorisasi: Periksa apakah siswa memiliki izin untuk duduk di Lab Pemrograman Komputer atau tidak.

sambhu
sumber
0

Saya telah mencoba membuat gambar untuk menjelaskan hal ini dengan kata-kata yang paling sederhana

1) Otentikasi berarti "Apakah Anda yang Anda katakan?"

2) Otorisasi berarti "Haruskah Anda dapat melakukan apa yang Anda coba lakukan?".

Ini juga dijelaskan pada gambar di bawah.

masukkan deskripsi gambar di sini

Rohit Ailani
sumber
2
mengapa Anda menambahkan gambar dengan hanya teks yang sama persis seperti di posting Anda? :)
Millenjo
0

Otentikasi :

Ini adalah proses memvalidasi apakah identitas itu benar atau salah. Dengan kata lain, memverifikasi bahwa pengguna adalah benar-benar orang yang dia klaim sendiri.

Jenis otentikasi:

  1. Jenis otentikasi nama pengguna + kata sandi
  2. Otentikasi menggunakan akun sosial
  3. Otentikasi tanpa kata sandi
  4. Otentikasi multifaktor
  5. Otentikasi berbasis sidik jari atau retina dll

OpenID adalah standar terbuka untuk otentikasi.

Otorisasi

Teknik yang menentukan sumber daya mana yang dapat diakses oleh pengguna dengan identitas atau peran tertentu.

OAuth adalah standar terbuka untuk otorisasi.

Steffi Keran Rani J
sumber
0

Otentikasi : Aplikasi perlu mengetahui siapa yang mengakses aplikasi. Jadi otentikasi terkait dengan kata siapa. Aplikasi akan memeriksanya dengan formulir login. Pengguna akan memasukkan nama pengguna dan kata sandi dan input ini akan divalidasi oleh aplikasi. Setelah validasi berhasil, pengguna dinyatakan sebagai yang diautentikasi.

Otorisasi adalah untuk memeriksa apakah pengguna dapat mengakses aplikasi atau tidak atau apa yang dapat diakses pengguna dan apa yang tidak dapat diakses oleh pengguna. Sumber: Otentikasi Vs Otorisasi

rahulnikhare
sumber
0

Dibandingkan dengan tanggapan lainnya yang mencoba secara eksplisit menentukan definisi atau teknologi. Saya akan sampaikan contoh bisa lebih berharga.

Berikut adalah beberapa artikel yang membuat analogi yang bagus untuk paspor versus gembok dan kunci

Saat berbicara tentang otentikasi (juga disebut AuthN), pikirkan tentang identitas. Otentikasi mencoba menjawab "apakah ini orang yang mereka katakan?" Ini adalah perangkat lunak yang setara dengan paspor atau cek KTP. Atau dalam istilah yang lebih realistis, otentikasi adalah proses yang mirip dengan saat Anda melihat wajah orang lain untuk mengetahui bahwa ini adalah teman Anda dari perguruan tinggi dan bukan tetangga lantai dua Anda yang mengganggu.

Di sisi lain, otorisasi (juga disebut AuthZ) adalah tentang izin. Otorisasi menjawab pertanyaan "apa yang boleh dilakukan orang ini di ruang ini?" Anda dapat menganggapnya sebagai kunci rumah atau lencana kantor Anda. Bisakah Anda membuka pintu depan Anda? Bisakah tetangga Anda yang mengganggu memasuki apartemen Anda sesuka hati? Dan lagi, sekali di apartemen Anda, siapa yang bisa menggunakan toilet? Siapa yang bisa makan dari simpanan cookie rahasia Anda yang tersimpan di lemari dapur Anda?

Warren Parad
sumber