常用的授权方式有哪些-授权（authz）和认证（authn）

授权（authz）和认证（authn）

在信息安全中，身份验证（缩写为authn）和授权（缩写为authz）是相关但独立的概念。 两者都是身份和访问管理 (IAM) 的重要组成部分。

authn 和 authz 和有什么区别？ 简单来说常用的授权方式有哪些，authn 是关于身份，即某人是谁，而 authz 是关于权限，即允许某人做什么。

什么是身份验证（authn）？

身份验证意味着确保一个人或设备是他们（他们）声称的人（或物）。 领取活动门票的人可能会被要求出示身份证件以验证身份； 同样，应用程序或数据库可能需要检查用户的身份以确保用户是合法的。 身份验证可确保数据不会暴露给错误的人。

常见的认证方式有哪些？

用户名和密码组合

最常见的身份验证方法之一是提示用户输入用户名和密码。 当杰西卡在浏览器中加载她的电子邮件帐户时，电子邮件服务尚不知道她是谁 – 但一旦她在登录表单中输入用户名和密码，该服务就能够检查这些凭据，验证她的身份是杰西卡，并且她已登录到她的帐户。

虽然大多数人熟悉这种身份验证方法，但用户名和密码的用途不仅仅是验证用户身份。 例如，API端点也可以通过这种方式进行身份验证。

多重身份验证 (MFA)

用户名-密码身份验证的问题是密码经常被恶意方猜出或窃取。 需要额外的身份验证因素可以提高用户的安全性； 这个概念称为多重身份验证 (MFA)。 使用 MFA 时，无法仅根据密码将攻击者错误地验证为合法用户。

MFA 最常见的实现是双因素身份验证 (2FA)。 如今卡通人物，许多服务通过要求用户证明他们拥有所发行的代币来实施 2FA。 令牌有两种类型：“软”令牌（例如通过短信或移动应用程序发送给用户的代码）和“硬”令牌（例如 USB 密钥）。 2FA 和 MFA 还可以使用生物识别身份验证因素（如下所述）。

公钥证书

公钥身份验证比这些其他形式的身份验证稍微复杂一些，但如果实施得当，它会更安全。 它使用公钥加密技术来验证经过身份验证的一方是否拥有正确的私钥。

公钥身份验证最常见的用途是在传输层安全 (TLS) 中常用的授权方式有哪些，用于对 Web 服务器进行身份验证。 每次用户设备加载使用 HTTPS 的网站时都会执行此类身份验证。

公钥身份验证还用于相互身份验证，其中通信各方相互身份验证，而不仅仅是客户端身份验证服务器或 Web 服务身份验证用户。 物联网 (IoT) 设备和 API 端点有时会使用这种类型的身份验证。

生物识别认证

生物识别身份验证只能用于通过根据某人的已知身体特征数据库检查某人的身体特征之一来验证某人的身份，从而对人类进行身份验证。 面部扫描或视网膜扫描是此类身份验证的示例。

什么是授权（authz）？

授权决定经过身份验证的用户可以查看和执行的操作。 想想当银行客户在线登录他们的帐户时会发生什么。 由于他们的身份经过验证吉祥物设计，因此他们可以查看自己的账户余额和交易历史记录，但无法访问其他人的账户余额和交易历史记录。 相反，银行经理可以被授权查看任何客户的财务数据。

同样，一个人可能是企业的合法雇员，他们可能已经验证了自己的身份，但这并不意味着他们应该有权访问该企业的所有文件和数据。 例如，人力资源或会计以外的员工不应该看到每个人的薪酬。

用户的授权级别决定了他们有权执行哪些操作； 因此，授权行为的通用术语是“授权”。 用于此概念的另一个术语是“特权”。

authz 是如何工作的？

组织使用某种授权解决方案来允许或阻止用户操作。 解决方案通常根据用户身份知道允许或阻止哪些操作； 因此，认证与授权密切相关。 有多种方法可以确定用户权限，包括：

在基于角色的访问控制 (RBAC) 中，每个用户都被分配一个或多个预定角色，并且每个角色都具有一组指定的权限。

在基于属性的访问控制 (ABAC) 中，权限是根据用户的属性或他们要执行的操作来分配的。

在基于规则的访问控制（也缩写为 RBAC）中，根据一组适用于所有用户（无论其角色如何）的规则来允许或拒绝操作。

什么是 OAuth？

OAuth 是一种将授权从一项服务传递到另一项服务的技术标准。 OAuth 通常用于云服务和 Web 应用程序，使在一项服务上经过身份验证的用户能够将其授权传递给另一项服务。 它们的授权级别通常由身份提供商 (IdP) 确定，这是一项单独的服务。

OAuth 使使用单点登录 (SSO) 服务成为可能，用户只需登录一次即可访问其所有云应用程序。 如果没有 OAuth，则必须在每个应用程序中单独设置用户权限。

本文链接地址：