Authentication and Authorization
Kimlik Doğrulama ve Yetkilendirme
Kimlik doğrulama(authentication) ve Yetkilendirme(authorization) terimleri arasında ciddi farklar vardır.
Authentication bir sistemde/uygulamada kullanıcı/servis kimliğinin doğrulaması işlemine verilen isimdir. Bu süreçte sadece kullanıcının ilgili sisteme erişim sağlaması için istenilen bilgilerin doğruluğu teyit edilmektedir. Bu durum genellikle kullanıcı adı ve parola ikilisinden oluşmanın yanında biometrik doğrulama veya sertifika tabanlı(private key) gibi doğrulama yöntemleride authentication kapsamında değerlendirilir. Authentication, authorization aşamasından önce gelir, gelmek zorundadır.
Öte taraftan authorization ise yetkilendirme mekanizmasıyla ilgili olduğu için daha çok izinlerin kontrolunu sağlamak amacıyla kullanılan yöntemleri ifade etmek için kullanılır. Bir kullanıcının bir uygulama/servise erişim hakkının/izninin olup olmadığı veya erişim izni olabilir ancak yazma izninin olup olmadığı gibi durumları kontrol eder. Sistem üzerindeki her hak ve yetki kontrolu özetle authorization ile ifade edilir.
Authorization iki kısımdan oluşur.
. Sistem yöneticisi kaynaklar üzerindeki izinleri ayarlar.
. Sistem/uygulama izinleri set edilen kaynağa erişim gerçekleştirdiği zaman yapacağı işlemler için yetkilendirme kontrolu yapması. ve ilgili izinlere sahip olması durumunda değiştirme, okuma vs gibi işlemleri yapabilmesi için doğrular.
Yukarıda da anlaşılacağı üzere authentication her zaman authorization aşamasından önce gelmelidir. Aksi durumda bir güvenlik ihlali söz konusudur.