Authentication vs Authorization
Ang proseso ng secure na pagtukoy sa mga user nito sa pamamagitan ng isang system ay tinatawag na authentication. Sinusubukan ng pagpapatotoo na tukuyin ang pagkakakilanlan ng gumagamit at kung ang gumagamit ay talagang ang taong kinakatawan niya. Ang pagtukoy sa antas ng pag-access (kung anong mga mapagkukunan ang ginagawang naa-access ng user) ng isang napatotohanang user ay ginagawa sa pamamagitan ng awtorisasyon.
Ano ang Authentication?
Authentication ay ginagamit upang itatag ang pagkakakilanlan ng isang user na sumusubok na gumamit ng isang system. Ang pagtatatag ng pagkakakilanlan ay ginagawa sa pamamagitan ng pagsubok sa isang natatanging piraso ng impormasyon na alam lamang ng user na pinapatotohanan at ng sistema ng pagpapatunay. Ang natatanging piraso ng impormasyong ito ay maaaring isang password, o isang pisikal na pag-aari na natatangi sa user gaya ng fingerprint o iba pang bio metric, atbp. Ang mga sistema ng pagpapatunay ay gumagana sa pamamagitan ng paghamon sa user na ibigay ang natatanging piraso ng impormasyon, at kung ang system maaaring i-verify na ang impormasyon na ang user ay itinuturing na napatotohanan. Ang mga sistema ng pagpapatotoo ay maaaring mula sa simpleng mga system na mapaghamong password hanggang sa mga kumplikadong sistema tulad ng Kerberos. Ang mga lokal na pamamaraan ng pagpapatunay ay ang pinakasimple at pinakakaraniwang sistema ng pagpapatunay na ginagamit. Sa ganitong uri ng sistema, ang mga username at password ng mga napatunayang user ay naka-imbak sa lokal na sistema ng server. Kapag gustong mag-login ng isang user, ipinapadala niya ang kanyang username at password sa plaintext sa server. Inihahambing nito ang natanggap na impormasyon sa database at kung ito ay isang tugma, ang user ay authenticate. Ang mga advanced na system ng pagpapatotoo tulad ng Kerberos ay gumagamit ng mga pinagkakatiwalaang server ng pagpapatotoo upang magbigay ng mga serbisyo sa pagpapatotoo.
Ano ang Awtorisasyon?
Ang paraan na ginagamit upang matukoy ang mga mapagkukunang naa-access ng isang napatotohanang user ay tinatawag na awtorisasyon (awtorisasyon). Halimbawa, sa isang database, pinapayagan ang hanay ng mga user na i-update/ baguhin ang database, habang ang ilang mga user ay mababasa lamang ang data. Kaya, kapag ang isang user ay nag-log in sa database, tinutukoy ng scheme ng pahintulot kung ang user na iyon ay dapat bigyan ng kakayahang baguhin ang database o ang kakayahan lamang na basahin ang data. Kaya sa pangkalahatan, tinutukoy ng scheme ng pahintulot kung ang isang napatotohanang user ay dapat na magawa ang isang partikular na operasyon sa isang partikular na mapagkukunan. Bilang karagdagan, ang mga scheme ng pahintulot ay maaaring gumamit ng mga salik tulad ng oras ng araw, pisikal na lokasyon, bilang ng mga pag-access sa system, atbp. kapag pinahihintulutan ang mga user na i-access ang ilang mga mapagkukunan sa system.
Ano ang pagkakaiba ng Authentication at Authorization?
Ang Authentication ay ang proseso ng pag-verify ng pagkakakilanlan ng isang user na sumusubok na makakuha ng access sa isang system, samantalang ang pahintulot ay isang paraan na ginagamit upang matukoy ang mga recourse na naa-access ng isang authenticated user. Kahit na ang pagpapatotoo at awtorisasyon ay nagsasagawa ng dalawang magkaibang gawain, ang mga ito ay malapit na nauugnay. Sa katunayan, sa karamihan ng mga host-based at client/server system, ang dalawang mekanismong ito ay ipinatupad gamit ang parehong hardware/software system. Ang scheme ng pahintulot ay talagang nakadepende sa scheme ng pagpapatunay upang matiyak ang pagkakakilanlan ng mga user na pumapasok sa system at makakuha ng access sa mga mapagkukunan.
