Phân biệt Authentication và Authorization

By | 30 March, 2020

Hôm nay chúng ta sẽ thảo luận về hai chủ đề mà hầu hết mọi người có xu hướng nhầm lẫn. Cả hai thuật ngữ thường được sử dụng kết hợp với nhau khi nói về bảo mật và giành quyền truy cập vào hệ thống. Cả hai thuật ngữ chủ đề rất quan trọng thường được liên kết với web là phần chính của cơ sở hạ tầng dịch vụ của nó. Tuy nhiên, cả hai thuật ngữ này khá khác nhau với các khái niệm hoàn toàn khác nhau. Bây giờ bạn đang tự hỏi những điều khoản này là gì, chúng được gọi là Authentication (xác thực) và Authorization (ủy quyền).Authentication có nghĩa là xác nhận danh tính của riêng bạn, trong khi Authorization có nghĩa là được phép truy cập vào hệ thống. Nói đơn giản hơn, Authentication là quá trình xác minh chính mình, trong khi Authorization là quá trình xác minh những gì bạn có quyền truy cập.

Authentication và Authorization
Authentication vs Authorization

Authentication

Xác thực là về việc xác thực thông tin đăng nhập của bạn như Tên người dùng / ID người dùng và mật khẩu để xác minh danh tính của bạn. Hệ thống sau đó kiểm tra xem bạn có phải là những gì bạn nói bạn đang sử dụng thông tin đăng nhập của mình không. Cho dù trong public internet hay private, hệ thống sẽ xác thực danh tính người dùng thông qua mật khẩu đăng nhập. Thông thường xác thực được thực hiện bởi tên người dùng và mật khẩu, mặc dù có nhiều cách khác nhau để được xác thực.

Các yếu tố xác thực xác định nhiều yếu tố khác nhau mà hệ thống sử dụng để xác minh danh tính của một người trước khi cấp quyền truy cập cá nhân cho bất kỳ thứ gì. Danh tính của một cá nhân có thể được xác định bởi những gì người đó biết và khi nói đến bảo mật, ít nhất hai hoặc cả ba yếu tố xác thực phải được xác minh để cấp quyền cho ai đó cho hệ thống. Dựa trên cấp độ bảo mật, các yếu tố xác thực có thể khác nhau từ một trong những điều sau đây:

  • Xác thực một yếu tố: Đây là hình thức xác thực đơn giản nhất yêu cầu mật khẩu để cấp quyền truy cập cho người dùng vào một hệ thống cụ thể như trang web hoặc mạng. Người này có thể yêu cầu quyền truy cập vào hệ thống chỉ bằng một trong các thông tin đăng nhập để xác minh danh tính của một người. Ví dụ: chỉ yêu cầu mật khẩu đối với tên người dùng sẽ là cách để xác minh thông tin đăng nhập bằng xác thực một yếu tố.
  • Xác thực hai yếu tố: Xác thực này yêu cầu quy trình xác minh hai bước không chỉ yêu cầu tên người dùng và mật khẩu mà còn cả một thông tin chỉ người dùng biết. Sử dụng tên người dùng và mật khẩu cùng với thông tin bí mật khiến tin tặc khó lấy cắp dữ liệu cá nhân và giá trị hơn nhiều.
  • Xác thực đa yếu tố: Đây là phương pháp xác thực tiên tiến nhất đòi hỏi hai hoặc nhiều mức bảo mật từ các loại xác thực độc lập để cấp quyền truy cập cho người dùng vào hệ thống. Hình thức xác thực này sử dụng các yếu tố độc lập với nhau để loại bỏ mọi phơi nhiễm dữ liệu. Thông thường các tổ chức tài chính, ngân hàng và các cơ quan thực thi pháp luật sử dụng xác thực nhiều yếu tố.

Authorization

Ủy quyền xảy ra sau khi danh tính của bạn được hệ thống xác thực thành công, do đó cho phép bạn truy cập đầy đủ vào các tài nguyên như thông tin, tệp, cơ sở dữ liệu, quỹ, v.v. Tuy nhiên, ủy quyền xác minh quyền của bạn chỉ cấp cho bạn quyền truy cập vào tài nguyên sau khi xác định khả năng truy cập của bạn hệ thống và đến mức độ nào. Nói cách khác, ủy quyền là quá trình để xác định xem người dùng được xác thực có quyền truy cập vào các tài nguyên cụ thể hay không. Một ví dụ điển hình của việc này là, một khi xác minh và xác nhận ID nhân viên và mật khẩu thông qua xác thực, bước tiếp theo sẽ là xác định nhân viên nào có quyền truy cập vào tầng nào và điều đó được thực hiện thông qua ủy quyền.

Quyền truy cập vào một hệ thống được bảo vệ bởi xác thực và ủy quyền và chúng thường được sử dụng kết hợp với nhau. Mặc dù cả hai đều có các khái niệm khác nhau sau đó, nhưng chúng rất quan trọng đối với cơ sở hạ tầng dịch vụ web, đặc biệt là khi được cấp quyền truy cập vào hệ thống. Hiểu từng thuật ngữ là rất quan trọng và một khía cạnh quan trọng của bảo mật.

Leave a Reply

avatar
  Subscribe  
Notify of