Authentication vs. Authorization vs. Identification

(轉: http://2010end.blogspot.com/2010/12/authentication-vs-authorization.html)

Authentication 鑒別

判斷使用者是不是他所宣稱的那個人，
如帳號密碼機制，是基於帳號密碼為只有本人跟系統本身才知道的 shared secret，所以只要可以正確輸入密碼，系統就可判斷使用者為這個帳號所代表的人物。

主要回答這些問題： 

• Who is the user?
• Is the user really who he/she represents himself to be?

Authorization 授權

判斷當前使用者所擁有對系統資源存取的權限(等級)，例如會員登入後擁有讀寫資源的權力，而訪客只有讀的權力。

主要回答這些問題： 

• Is user X authorized to access resource R?
• Is user X authorized to perform operation P?
• Is user X authorized to perform operation P on resource R?

Identification 識別

判斷使用者是誰，Identification必須是獨一無二的，才能正確的分辨出每個人。

主要回答這些問題： 

• Who is the user?

上面三者的關係：

系統要知道某個使用者對系統資源的存取權力，包含三個部分

1. 使用者告訴系統他是誰(Identification 機制)。
   • 例：輸入ID
2. 系統判斷使用者是否真的是他宣稱的那個人(Authentication 機制)
   • 例：輸入Password
3. 系統根據該帳號所擁有的權限驗証該使用者(Auorization 機制)
   
   • 例：系統判斷該使用者為會員，給予讀及寫的權利

參考來源:
http://www.duke.edu/~rob/kerberos/authvauth.html http://tw.18dao.net/%E9%9B%BB%E8%85%A6%E8%A9%9E%E5%85%B8/%E9%91%92%E5%88%A5%E8%88%87%E6%8E%88%E6%AC%8A_Authentication_and_Authorization
http://www.sos.cs.ru.nl/applications/courses/security2008/nistiadraft.pdf