1. ホーム
  2. security

[解決済み] 認証と認可

2022-03-14 13:28:16

質問

Webアプリケーションの文脈ではどう違うのでしょうか?auth"という略称をよく見かけます。の略なのでしょうか? オーサー -エンゲージメントまたは オーサー -orization? それとも両方ですか?

どのように解決するのですか?

<ブロッククオート

認証 とは、誰かが本当にその人であると主張することを確認するプロセスである。

オーソライズ は、誰が何をすることを許可されているかを決定する規則を指します。例えば、Adam はデータベースを作成したり削除する権限があります。 一方、Usamaには読み込みの権限しかありません。

この2つの概念は完全に直交し、独立していますが どちらも セキュリティ設計の中心であり、どちらかが正しくなければ、妥協の道を開くことになります。

Webアプリの場合、非常に大雑把に言うと、ログイン情報をチェックして、ユーザーがログインしていると認識するのが認証で、ユーザーにコンテンツの閲覧、編集、削除、作成を許可するかどうかをアクセス制御で調べるのが認可です。