Аутентификация против авторизации
1 ответ
Определения
Аутентификация - действительно ли Вы - человек, которым Вы утверждаете, что были?
Авторизация - Вы разрешены сделать независимо от того, что это, Вы пытаетесь сделать?
Пример
использование веб-приложения А Google Sign-In . После того, как пользователь успешно регистрируется, Google передает обратно:
- А маркер JWT. Это может проверяться и декодироваться для получения аутентификация информация. Маркер подписывается Google? Каково имя и адрес электронной почты пользователя?
- маркер доступа. Это разрешает веб-приложение получать доступ к Google API от имени пользователя. Например, могут доступ к приложениям события Google Calendar пользователя? Эти полномочия зависят от объемов, которые требовали, и позволил ли пользователь его.
Дополнительно:
компания может иметь администраторскую панель инструментов, которая позволяет поддержке клиентов управлять пользователями компании. Вместо того, чтобы предоставить пользовательское решение для регистрации, которое позволило бы поддержке клиентов получать доступ к этой панели инструментов, компания использует Google Sign-In.
маркер JWT (полученный от Google входят в систему процесс) отправляется на сервер авторизации компании, чтобы выяснить, имеет ли пользователь учетная запись Комплекта G с размещенным доменом организации (email@company.com)? И если они делают, действительно ли они - член Google Group компании, которая была создана для поддержки клиентов? Если да ко всему вышеупомянутому, мы можем рассмотреть их , прошел проверку подлинности .
сервер авторизации компании затем отправляет приложению панели инструментов маркер доступа. Этот маркер доступа может использоваться для создания , авторизовал запросы к серверу ресурса компании (например, способность выполнить ПОЛУЧИТЬ запрос к конечной точке, которая передает всех обратно пользователей компании).