Web应用程序的上下文有什么区别?我经常看到缩写“auth”。它代表 auth -entication 还是 auth -orization?还是两者兼而有之?
身份验证 是确定某人确实是他们声称的那个人的过程。 授权 是指决定谁可以做什么的规则。例如,Adam 可能被授权创建和删除数据库,而 Usama 仅被授权读取。
身份验证 是确定某人确实是他们声称的那个人的过程。
授权 是指决定谁可以做什么的规则。例如,Adam 可能被授权创建和删除数据库,而 Usama 仅被授权读取。
这两个概念是完全正交和独立的,但 两者 都是安全设计的核心,任何一个都不能正确打开了妥协的途径。
就网络应用而言,非常粗略地说,身份验证是您检查登录凭据以查看您是否将用户识别为已登录,而授权是您在访问控制中查找是否允许用户查看、编辑、删除或创建内容。
