身份认证是验证你的身份,一旦通过验证,即启用授权。你所拥有的身份可以进行哪些操作都是由授权规定。例如,任何银行客户都可以创建一个账户(如用户名),并使用该账户登录该银行的网上服务,但银行的授权政策必须确保只有你有权限访问自己的网上个人账户,当然前提是你得先通过身份认证。
简单来说就是:认证回答「你是谁」的问题,授权规定「你能干什么」。
认证Authentication
认证意味着证实某个用户是他所声明的那个人。
- Username and Password Credentials
- Multi-Factor Authentication
- Token Based Credentials a Better Alternative to Username Password Credentials
Federated Identity
- Single Sign-On Single Experience
- WS-Security With SAML Assertions
- OpenID Connect with JWT ID Tokens
- Single Sign-On Multi-Experience
- SAML
- CAS
授权Authorization
授权意味决定一个身份确定的用户能够访问那些资源。
本质上可以授权可以理解为是访问控制,是系统对访问某些数据或执行某个操作的权限的控制。
- Role-Based Access Control
- Attribute-Based Access Control
- Delegated Access Control with OAuth 2.0