Cả hai thuật ngữ thường được sử dụng kết hợp với nhau về bảo mật, đặc biệt là khi đạt được quyền truy cập vào hệ thống. Cả hai đều là những chủ đề rất quan trọng thường được liên kết với web như là phần chính của cơ sở hạ tầng dịch vụ của nó. Tuy nhiên, cả hai thuật ngữ đều rất khác nhau với các khái niệm hoàn toàn khác nhau. Mặc dù đúng là chúng thường được sử dụng trong cùng một bối cảnh với cùng một công cụ, nhưng chúng hoàn toàn khác biệt với nhau.
Xác thực có nghĩa là xác nhận danh tính của riêng bạn, trong khi ủy quyền có nghĩa là cấp quyền truy cập vào hệ thống. Nói một cách đơn giản, xác thực là quá trình xác minh bạn là ai, trong khi ủy quyền là quá trình xác minh những gì bạn có quyền truy cập vào.
Xác thực là về việc xác thực thông tin đăng nhập của bạn như Tên người dùng / ID người dùng và mật khẩu để xác minh danh tính của bạn. Hệ thống xác định xem bạn có phải là những gì bạn nói bạn đang sử dụng thông tin đăng nhập của bạn hay không. Trong các mạng công cộng và riêng, hệ thống xác thực danh tính người dùng thông qua mật khẩu đăng nhập. Xác thực thường được thực hiện bởi tên người dùng và mật khẩu, và đôi khi kết hợp với các yếu tố xác thực, trong đó đề cập đến các cách khác nhau để được xác thực.
Các yếu tố xác thực xác định các yếu tố khác nhau mà hệ thống sử dụng để xác minh danh tính của một người trước khi cấp cho anh ta quyền truy cập vào bất cứ điều gì từ việc truy cập tệp đến yêu cầu giao dịch ngân hàng. Danh tính của người dùng có thể được xác định bởi những gì anh ta biết, những gì anh ta có hoặc những gì anh ta có. Khi nói đến bảo mật, ít nhất hai hoặc cả ba yếu tố xác thực phải được xác minh để cấp cho ai đó quyền truy cập vào hệ thống.
Dựa trên cấp độ bảo mật, hệ số xác thực có thể thay đổi theo một trong các cách sau:
Ví dụ: khi bạn nhập thẻ ATM vào máy ATM, máy sẽ yêu cầu bạn nhập mã pin. Sau khi bạn nhập mã pin chính xác, ngân hàng sẽ xác nhận danh tính của bạn rằng thẻ thực sự thuộc về bạn và bạn là chủ sở hữu hợp pháp của thẻ. Bằng cách xác thực mã pin thẻ ATM của bạn, ngân hàng thực sự xác minh danh tính của bạn, được gọi là xác thực. Nó chỉ xác định bạn là ai, không có gì khác.
Mặt khác, ủy quyền xảy ra sau khi danh tính của bạn được hệ thống xác thực thành công, điều này cuối cùng cho phép bạn truy cập đầy đủ các tài nguyên như thông tin, tệp, cơ sở dữ liệu, quỹ, địa điểm, hầu hết mọi thứ. Nói một cách đơn giản, ủy quyền xác định khả năng của bạn để truy cập hệ thống và ở mức độ nào. Khi danh tính của bạn được hệ thống xác minh sau khi xác thực thành công, bạn sẽ được phép truy cập tài nguyên của hệ thống.
Ủy quyền là quá trình để xác định xem người dùng được xác thực có quyền truy cập vào các tài nguyên cụ thể hay không. Nó xác minh quyền của bạn để cấp cho bạn quyền truy cập vào các tài nguyên như thông tin, cơ sở dữ liệu, tệp, v.v. Ủy quyền thường được đưa ra sau khi xác thực xác nhận các đặc quyền của bạn để thực hiện. Nói một cách đơn giản, nó giống như cho phép ai đó được phép chính thức làm điều gì đó hoặc bất cứ điều gì.
Ví dụ, quá trình xác minh và xác nhận ID nhân viên và mật khẩu trong một tổ chức được gọi là xác thực, nhưng xác định nhân viên nào có quyền truy cập vào tầng nào được gọi là ủy quyền. Giả sử bạn đang đi du lịch và bạn sắp lên chuyến bay. Khi bạn xuất trình vé và một số giấy tờ tùy thân trước khi đăng ký, bạn sẽ nhận được thẻ lên máy bay xác nhận rằng cơ quan sân bay đã xác thực danh tính của bạn. Nhưng đó không phải là nó. Một tiếp viên hàng không phải ủy quyền cho bạn lên chuyến bay mà bạn phải bay, cho phép bạn truy cập vào bên trong máy bay và các tài nguyên của nó.
Truy cập vào một hệ thống được bảo vệ bởi cả xác thực và ủy quyền. Mọi nỗ lực truy cập hệ thống có thể được xác thực bằng cách nhập thông tin xác thực hợp lệ, nhưng chỉ có thể được chấp nhận sau khi ủy quyền thành công. Nếu nỗ lực được xác thực nhưng không được phép, hệ thống sẽ từ chối quyền truy cập vào hệ thống.
Xác thực | Ủy quyền |
Xác thực xác nhận danh tính của bạn để cấp quyền truy cập vào hệ thống. | Ủy quyền xác định xem bạn có được phép truy cập tài nguyên không. |
Đây là quá trình xác thực thông tin đăng nhập của người dùng để có quyền truy cập của người dùng. | Đây là quá trình xác minh xem có cho phép truy cập hay không. |
Nó quyết định liệu người dùng có phải là những gì anh ta tuyên bố là. | Nó xác định những gì người dùng có thể và không thể truy cập. |
Xác thực thường yêu cầu tên người dùng và mật khẩu. | Các yếu tố xác thực cần thiết để ủy quyền có thể khác nhau, tùy thuộc vào cấp độ bảo mật. |
Xác thực là bước đầu tiên của ủy quyền vì vậy luôn luôn đến trước. | Việc ủy quyền được thực hiện sau khi xác thực thành công. |
Ví dụ, sinh viên của một trường đại học cụ thể được yêu cầu tự xác thực trước khi truy cập vào liên kết sinh viên của trang web chính thức của trường đại học. Điều này được gọi là xác thực. | Ví dụ: ủy quyền xác định chính xác thông tin nào sinh viên được phép truy cập trên trang web của trường đại học sau khi xác thực thành công. |
Mặc dù, cả hai thuật ngữ thường được sử dụng kết hợp với nhau, chúng có các khái niệm và ý nghĩa hoàn toàn khác nhau. Mặc dù cả hai khái niệm này đều quan trọng đối với cơ sở hạ tầng dịch vụ web, đặc biệt là khi cấp quyền truy cập vào hệ thống, hiểu từng thuật ngữ liên quan đến bảo mật là chìa khóa. Trong khi hầu hết chúng ta nhầm lẫn một thuật ngữ này với một thuật ngữ khác, hiểu được sự khác biệt chính giữa chúng là điều quan trọng thực sự rất đơn giản. Nếu xác thực là bạn là ai, ủy quyền là những gì bạn có thể truy cập và sửa đổi. Nói một cách đơn giản, xác thực là xác định xem ai đó là người mà anh ta tuyên bố là. Ủy quyền, mặt khác, đang xác định quyền của mình để truy cập tài nguyên.