認證

認證是指確認宣告者的身份。對應英文 identification 單詞。

常見的認證方式：

• 身份證
• 使用者名稱和密碼
• 手機：手機短息、二維碼掃描、手勢密碼
• 電子郵箱
• 使用者的生物學特徵：指紋、虹膜
• 等等

授權

指獲取使用者的委派許可權。對應英文 authorization 單詞。

在資訊保安領域，授權是指資源所有者委派執行者，賦予執行者指定範圍的資源操作許可權。

• 資源所有者：擁有資源的所有許可權，一般就是資源的擁有者
• 資源執行者：被委派去執行資源的相關操作
• 操作許可權：可以對資源進行的某種操作
• 資源，有價值的資訊或資料等

資源所有者和執行者不限於自然人，很多時候是應用程式或者機器，例如瀏覽器。

授權的實現方式很廣泛，在網際網路應用開發領域中：

• 通過 web 伺服器的 session 機制
• 通過 web 伺服器的 cookie 機制
• 頒發授權令牌 token

鑑權

鑑權是指對於一個宣告者所宣告的身份權利的真實性進行鑑別確認的過程。對應英文 authentication 單詞。

先授權，後鑑權。這兩個“權”是同一個概念，就是所委派的權利。

因此鑑權的實現方式和授權的方式有一一對應關係。

鑑權是一個承上啟下的一個環節，上游它接受許可權的輸出，校驗其真實性後，然後獲取許可權（permission），為下一步的許可權控制做好準備。

許可權控制

許可權控制是指對可執行的各種操作組合配置為許可權列表，然後根據執行者的許可權，若其操作在許可權範圍內，則允許執行，否則禁止。對應英文 access/permission control 單詞。

許可權（Permission），一般預先定義和配置好，以便控制的具體實現。一班情況下，會用基於角色的方式來定義許可權，由角色來封裝可執行的操作集合。

認證、授權、鑑權、和許可權控制關係

這四個環節是一個前後依次發上、上下游的關係。

認證 -> 授權 -> 鑑權 -> 許可權控制

認證和鑑權的關係

• 認證是確認宣告者的本身身份，其作為授權的上游銜接而存在
• 鑑權是對宣告者所宣告的真實性進行確認的過程，其作為授權的下游銜接而存在