Послушать аудиоверсию этой статьи (6 минут):
Так. Минутка терминологии для грамотных айтишников.
Аутентификация — это когда нужно подтвердить, что мы это именно мы, а не кто-то другой.
Например, можно пройти аутентификацию по логину и паролю. Предполагается, что никто не передаёт свой пароль другому человеку, и если кто-то ввёл логин и пароль Васи — он и есть Вася (потому что этот пароль знает только Вася).
Есть и другие варианты. Например, когда звонит телефон и на нём высвечивается надпись «Мама», мы предполагаем, что, ответив на звонок, мы будем разговаривать с мамой. Это аутентификация по номеру звонящего. Но окончательно мы в этом убедимся, только когда услышим её голос в трубке. Это аутентификация по голосу.
Раньше для разблокировки телефона нужно было вводить код, пароль или рисовать узор на экране — это тоже способы аутентификации, чтобы доказать телефону, что вы его владелец. С появлением датчика отпечатка пальца и распознавания лица мы перешли на биометрическую аутентификацию.
Авторизация — это когда система смотрит на результат аутентификации и решает, что этому пользователю можно делать, а что нельзя. В ИТ для этого вводят разные уровни доступа, например:
- Гостевой логин и пароль разрешают только просматривать файлы на сервере в определённой папке и больше ничего.
- Обычные пользователи могут входить по своим логинам и паролям и могут просматривать файлы во всех папках. Но добавлять новые файлы они тоже не могут — не хватает прав доступа.
- Администраторы могут делать на сервере что угодно.
Пример авторизации из жизни
Давайте представим ситуацию в очень законопослушной стране:
— Здравствуйте, гражданин, предъявите документы!
— А вы, собственно, кто?
— Я лейтенант Иванов, 3-е отделение ППС, вот моё удостоверение.
— Ну-ка, дайте гляну фото. Да, действительно, вы Иванов из полиции, вот мой паспорт.
Перед тем как гражданин согласился показать документы, он убедился, что Иванов — именно тот, за кого себя выдаёт. Это был этап аутентификации — гражданин запросил документы, сверил лицо человека с фотографией, прочитал должность и срок действия документов.
После того как аутентификация была пройдена, человек с удостоверением получил нужный уровень доступа — право запрашивать документы у этого гражданина. Если бы удостоверение было просрочено или на фотографии был другой человек, то уровень авторизации остался бы тем же, что и в самом начале, и документы можно не показывать.
Аутентификация и авторизация одной картинкой
Что дальше
Следующий этап — двухфакторная аутентификация. Она нужна, чтобы усложнить жизнь злоумышленникам, которые украли чей-то логин и пароль. Про неё — в другой раз.
