认证(Authentication)和授权(Authorization)总结

时间:2024-12-27 08:05:37

身份认证是验证你的身份,一旦通过验证,即启用授权。你所拥有的身份可以进行哪些操作都是由授权规定。例如,任何银行客户都可以创建一个账户(如用户名),并使用该账户登录该银行的网上服务,但银行的授权政策必须确保只有你有权限访问自己的网上个人账户,当然前提是你得先通过身份认证。

简单来说就是:认证回答「你是谁」的问题,授权规定「你能干什么」。

认证Authentication

认证意味着证实某个用户是他所声明的那个人。

  1. Username and Password Credentials
  2. Multi-Factor Authentication
  3. Token Based Credentials a Better Alternative to Username Password Credentials

Federated Identity

  • Single Sign-On Single Experience
    • WS-Security With SAML Assertions
    • OpenID Connect with JWT ID Tokens
  • Single Sign-On Multi-Experience
    • SAML
    • CAS

授权Authorization

授权意味决定一个身份确定的用户能够访问那些资源。

本质上可以授权可以理解为是访问控制,是系统对访问某些数据或执行某个操作的权限的控制。

  • Role-Based Access Control
  • Attribute-Based Access Control
  • Delegated Access Control with OAuth 2.0