Идентификация. Это определение «идентичности» субъекта – связывание с некоторым его уникальным идентификатором (ID). Пользователь идентифицируется когда вводит на сайте свой юзернейм. Это понятие не подразумевает никакой проверки безопасности – только юзернейм не дает пользователю новых возможностей на сайте.
Аутентификация. Процесс подтверждения идентификации. Только когда пользователь введет на сайте правильный пароль, сайт сможет поверить указанному юзернейму. Аутентифицированный пользователь имеет право пользоваться этим юзернеймом. Пароль в этом примере называется фактором аутентификации.
Авторизация. Право объекта выполнять те или иные действия. Например, сайт на основе роли пользователя определяет, можно ли показать ему страницу администратора. Для авторизации даже не обязательно проходить предыдущие шаги: пользователь может быть авторизован писать на анонимном форуме без аутентификации. Однако обычно чтобы применить политики безопасности, системе необходимо знать с кем она имеет дело. Поэтому автроизация тесно связана с аутентификацией и идет сразу за ней. Авторизация выполняется не пользователем, а самой системой.
Запомним:
• Идентификация – кто? (недостоверно)
• Аутентификация – кто? (достоверно)
• Авторизация – что можно?