认证、授权、鉴权、权限控制
认证(identification)
认证是指根据操作者特有的识别信息,确认其身份,常见的比如用户名和密码,身份证,手机号,邮箱,指纹,虹膜等 也就是为了确认当前用户信息
授权(authorization)
授权一般是指用户在成功通过认证后,系统颁发的唯一标识信息,用户可以根据这个授权信息对系统资源进行操作,而不用每次去手动认证。最常见的就是服务端颁发一个token。
鉴权(authentication)
鉴权是指对一个操作者的授权信息的鉴别确认过程,由于不需要用户每次手动去认证,通过服务端颁发的授权信息进行自动认证,而授权信息也是有可能会被伪造的,所以还需要鉴别授权信息在系统中是否是真实存在的。
权限控制(access / permisson control)
权限控制也可看作为两部分,权限和控制,权限一般会定义预置好是一个可执行操作的集合,一般会对角色分配权限,控制是指对当前操作者所执行的操作进行判断,决定是否允许当前操作的执行。
总结
| 定义 | 英文 | 实现方式 | |
|---|---|---|---|
| 认证 | 确认声明者的身份 | identification | 根据声明者独特的识别信息 |
| 授权 | 获取用户的委派权限 | authorization | 颁发一个授信媒介,不可被篡改,不可伪造,受保护 |
| 鉴权 | 对所声明的权限真实性进行鉴别的过程权限是一个抽象的逻辑概念,定义和配置可执行的操作,而控制是具体的实现方式,通过一定的方式控制操作的允许和禁止 | authentication | 鉴权和授权是一一对应关系,解析授信媒介,确认其合法性、有效性 |
| 权限控制 | 权限是一个抽象的逻辑概念,定义和配置可执行的操作,而控制是具体的实现方式,通过一定的方式控制操作的允许和禁止 | access/permission control | 实现方式多样,根据具体情况来实现。 |