Czym się różni uwierzytelnianie (autentykacja) od autoryzacji?

Uwierzytelnienie (ang. authentication), nazywane inaczej autektykacją, i autoryzacja (ang. authorization) to dwa kluczowe, choć różne procesy w dziedzinie bezpieczeństwa IT. Przez to, że są ze sobą powiązane i często stosowane razem są ze soba mylone. Pełnią jednak różne role w ochronie dostępu do systemów i danych.

Uwierzytelnienie (authentication)

Co to jest uwierzytelnienie?

Uwierzytelnienie, przez swoje angielskie tłumaczenie, jest często nazywane autentykacją. Jest to proces potwierdzania tożsamości użytkownika lub urządzenia. Polega na weryfikacji, że ktoś lub coś jest tym, za kogo/za co się podaje. Czyli celem uwierzytelnienia jest po prostu sprawdzenie tożsamości (najczęściej) użytkownika.

Metody

Istnieją różne metody uwierzytelniania się, czyli potwierdzania swojej tożsamości. Przykładami uwierzytelnienia moga być, np.: podanie hasła lub PIN-u, użycie wygenerowanego token-a lub karty dostępu albo użycie odcisku palca lub skorzystanie z funkcji rozpoznania twarzy.

Przykładem uwierzytelnienia jest np. wpisanie nazwy użytkownika i hasła podczas logowania się do konta. System sprawdza, czy hasło odpowiada podanej nazwie użytkownika i w ten sposób weryfikuje tożsamość osoby próbującej się zalogować.

Po pomyślnym uwierzytelnieniu system wie dopiero kim jest użytkownik, ale nie wie do czego dany użytkownik ma mieć dostęp, bo to jest inny proces, czyli autoryzacja.

Autoryzacja (authorization)

Jak już system wie kim jest użytkownik (pozytywne uwierzytelnienie) przychodzi czas na kolejny krok, czyli określenie do jakich zasobów i działań użytkownik ma mieć dostęp. Ten proces nazywamy autoryzacją. Celem autoryzacji jest określenie poziomu uprawnień użytkownika w systemie, czyli co może zrobić po potwierdzeniu jego tożsamości. Autoryzacja jest zwykle oparta na politykach dostępu i przypisanych rolach (np. rola „administrator” może mieć dostęp do innych zasobów niż rola „użytkownik”). Po autoryzacji system kontroluje, jakie operacje użytkownik może wykonać i jakie dane przeglądać lub modyfikować.

Uwierzytelnienie vs Autoryzacja (różnice)

Poniżej podsumowanie, w formie tabelarycznej, procesów uwierzytelnienia i autoryzacji. W skrócie uwierzytelnienie potwierdza, kim jest użytkownik, a autoryzacja określa, co może robić w systemie po uwierzytelnieniu. Ale zapraszam do zerknięcia na poniższą tabelkę.

UwierzytelnienieAutoryzacja
Pytanie, na które odpowiadaKim jesteś?Co możesz zrobić?
CelPotwierdzenie tożsamości użytkownika.Przyznanie uprawnień do zasobów i działań.
EtapPrzeprowadzane jako pierwsze.Następuje po uwierzytelnieniu.
Metodynp. hasła, tokeny, dane biometryczne itp.np. role użytkownika, poziomy dostępu itp.
PrzykładLogowanie do systemu.Przypisanie odpowiednich dla danej roli uprawnień np. przeglądania, edytowania lub usuwania danych.