Hoje vou discutir dois tópicos que a maioria das pessoas tendem a confundir. Ambos os termos são frequentemente usados em conjunto quando se trata de segurança e de obter acesso ao sistema. Ambos os termos tópicos muito chave que são muitas vezes associados com a web como peças chave da sua infra-estrutura de serviços. No entanto, ambos os termos são bastante diferentes com conceitos completamente diferentes. Agora você está se perguntando o que são esses termos, bem eles são conhecidos como autenticação e autorização. Autenticação significa confirmar sua própria identidade, enquanto autorização significa ter permissão de acesso ao sistema. Em termos ainda mais simples autenticação é o processo de verificação de si mesmo, enquanto autorização é o processo de verificação do que você tem acesso.
Autenticação
Autenticação é sobre a validação de suas credenciais, tais como Nome de Usuário/User ID e senha para verificar sua identidade. O sistema então verifica se você é o que você diz que está usando suas credenciais. Seja em redes públicas ou privadas, o sistema autentica a identidade do usuário através de senhas de login. Normalmente a autenticação é feita por um nome de usuário e senha, embora existam outras formas de autenticação.
Os fatores de autenticação determinam os muitos elementos diferentes que o sistema usa para verificar a identidade de cada um antes de conceder o acesso individual a qualquer coisa. A identidade de um indivíduo pode ser determinada pelo que a pessoa sabe, e quando se trata de segurança pelo menos dois ou todos os três fatores de autenticação devem ser verificados a fim de conceder permissão a alguém para o sistema. Com base no nível de segurança, os fatores de autenticação podem variar de um dos seguintes:
- Autenticação de Fator Único: Esta é a forma mais simples de autenticação que requer uma senha para garantir o acesso do usuário a um determinado sistema, como um website ou uma rede. A pessoa pode solicitar o acesso ao sistema usando apenas uma das credenciais para verificar a sua identidade. Por exemplo, apenas requerer uma senha contra um nome de usuário seria uma forma de verificar uma credencial de login usando um único fator de autenticação.
- Two- Factor Authentication: Esta autenticação requer um processo de verificação em duas etapas que não só requer um nome de usuário e senha, mas também um pedaço de informação que só o usuário conhece. Usar um nome de usuário e senha juntamente com uma informação confidencial torna muito mais difícil para os hackers roubarem dados valiosos e pessoais.
- Autenticação Multi- Fator: Este é o método mais avançado de autenticação que requer dois ou mais níveis de segurança de categorias independentes de autenticação para garantir o acesso do usuário ao sistema. Esta forma de autenticação utiliza fatores que são independentes entre si para eliminar qualquer exposição de dados. É comum para organizações financeiras, bancos e agências de aplicação da lei usar autenticação de múltiplos fatores.
Autorização
Autorização ocorre após sua identidade ser autenticada com sucesso pelo sistema, o que, portanto, lhe dá pleno acesso a recursos como informações, arquivos, bancos de dados, fundos, etc. No entanto, a autorização verifica os seus direitos para lhe conceder acesso aos recursos apenas após determinar a sua capacidade de acesso ao sistema e até que ponto. Em outras palavras, a autorização é o processo para determinar se o usuário autenticado tem acesso aos recursos específicos. Um bom exemplo disso é, uma vez verificada e confirmada a identificação do funcionário e as senhas através da autenticação, o próximo passo seria determinar qual funcionário tem acesso a qual andar e isso é feito através da autorização.
Acesso a um sistema é protegido pela autenticação e autorização, e eles são freqüentemente usados em conjunto uns com os outros. Embora ambos tenham conceitos diferentes por trás disso, eles são críticos para a infra-estrutura de serviços web, especialmente quando se trata de obter acesso a um sistema. Entender cada termo é muito importante e um aspecto chave da segurança.
- OAuth 2 In Action de Justin Richer e Antonio Sanso
