Authentication və Authorization: Fərqlər və Əhəmiyyəti
Veb təhlükəsizliyinin vacib elementləri olan authentication (autentifikasiya) və authorization (autorizasiya) hər hansı bir tətbiqin və ya sistemin istifadəçilərini idarə etmək və onları mühafizə etmək üçün əsas proseslərdən biridir. Bu məqalədə bu iki termin arasındakı fərqləri, əhəmiyyətlərini və iş prinsipini izah edəcəyik.
Authentication (Autentifikasiya) Nədir?
Authentication, yəni autentifikasiya, bir istifadəçinin kim olduğunu təsdiq etmə prosesidir. Yəni, sistem və ya tətbiq, istifadəçinin təqdim etdiyi məlumatları yoxlayaraq onun həqiqətən kim olduğunu müəyyən edir. Bu proses adətən istifadəçi adı və şifrə vasitəsilə həyata keçirilir, lakin daha təhlükəsiz metodlar da mövcuddur.
Əsas növlər:
- Şifrə və istifadəçi adı: Ən yayılmış üsul. İstifadəçi adını və şifrəsini daxil edən şəxs sistemdə qeydiyyatda olan istifadəçi kimi təsdiqlənir.
- İki faktorlu autentifikasiya (2FA): İstifadəçidən iki fərqli məlumat tələb edilir (məsələn, şifrə və telefona gələn SMS kodu).
- Biometrik autentifikasiya: Barmaq izi, üz tanıma kimi metodlarla istifadəçinin kimliyinin təsdiqlənməsi.
- Bir dəfə daxil ol (SSO): İstifadəçi bir dəfə daxil olaraq birdən çox sistemə eyni kimlik məlumatları ilə giriş edə bilir.
Nümunə:
Bir sosial media hesabına daxil olarkən, sizdən istifadəçi adı və şifrə daxil etməyiniz tələb olunur. Bu proses sizin həmin hesaba malik olduğunuzu təsdiq edir və daxil olmağa icazə verir. Bu, authentication-in klassik nümunəsidir.
Authorization (Avtorizasiya) Nədir?
Authorization, yəni avtorizasiya, autentifikasiyadan sonra baş verir və istifadəçinin hansı resurslara daxil ola biləcəyini və ya hansı hüquqlara malik olduğunu müəyyən edir. Başqa sözlə, avtorizasiya istifadəçinin nə edə biləcəyini təyin edir. Authentication prosesi ilə istifadəçi kimliyini sübut etdikdən sonra, avtorizasiya ilə onun sistem daxilindəki imkanları müəyyən olunur.
Nümunə:
Bir şirkət daxili portalına giriş edən istifadəçi, autentifikasiya yolu ilə hesabına daxil ola bilər. Lakin həmin istifadəçinin hansı məlumatlara, fayllara və ya funksiyalara giriş icazəsinin olub-olmadığı avtorizasiya vasitəsilə təyin olunur. Məsələn, sıravi işçi yalnız öz məlumatlarına və departamentinə aid resurslara çıxış edə bilər, rəhbər işçilər isə daha geniş imkanlara malik ola bilər.
Authentication və Authorization Arasındakı Fərqlər
-
Məqsəd:
- Authentication istifadəçinin kimliyini yoxlayır.
- Authorization isə həmin istifadəçinin nələr edə biləcəyini müəyyən edir.
-
İlk addım:
- Authentication prosesi həmişə birinci baş verir, çünki sistem əvvəlcə istifadəçini tanımalıdır.
- Authorization isə yalnız autentifikasiyadan sonra həyata keçirilir.
-
Necə həyata keçirilir?:
- Authentication adətən şifrə, biometrik məlumatlar və ya unikal giriş kodları ilə həyata keçirilir.
- Authorization isə icazələr, rollar və siyasətlər əsasında idarə olunur. Məsələn, admin rollu bir istifadəçi müəyyən məlumatları silə bilər, sıravi istifadəçi isə sadəcə baxa bilər.
Niyə Authentication və Authorization Əhəmiyyətlidir?
1. Təhlükəsizlik:
Authentication və authorization prosesləri olmadan bir sistem istifadəçilər üçün təhlükəli ola bilər. Autentifikasiya istifadəçilərin yalnız öz hesablarına daxil olmasına imkan verir, avtorizasiya isə hansı məlumatların hansı istifadəçilərə təqdim ediləcəyini müəyyən edir. Bu iki proses birlikdə sistemləri xarici və daxili təhdidlərdən qoruyur.
2. Məxfilik və Giriş Nəzarəti:
Şirkətlər və təşkilatlar müxtəlif səviyyələrdə məlumat və resursları qorumaq üçün bu iki prosesi birləşdirir. Məsələn, şirkət işçiləri arasında məlumat mübadiləsi olsa da, hər kəs yalnız ona aid olan məlumatları görməlidir.
3. Resursların İdarə Edilməsi:
Avtorizasiya düzgün idarə olunduqda resursların istifadəsini səmərəli şəkildə təşkil etməyə kömək edir. Yalnız səlahiyyətli istifadəçilərin müəyyən resurslara çıxış icazəsi olur, bu da sistemin yüklənməsinin qarşısını alır.
Authentication və Authorization Texnologiyaları
-
OAuth: OAuth (Open Authorization) geniş şəkildə istifadə olunan bir avtorizasiya protokoludur. OAuth üçüncü tərəf tətbiqlərinə istifadəçi məlumatlarına təhlükəsiz şəkildə giriş imkanı verir. Məsələn, bir veb sayta Google hesabı ilə daxil olmaq OAuth ilə həyata keçirilir.
-
JWT (JSON Web Token): JWT, autentifikasiya üçün istifadə edilən bir token növüdür. Bir istifadəçi uğurla autentifikasiyadan keçəndən sonra server ona bir JWT göndərir və istifadəçi həmin tokenlə sonrakı sorğularını həyata keçirir.
-
LDAP: LDAP (Lightweight Directory Access Protocol) əsasən müəssisələrdə istifadə olunur və istifadəçilərin autentifikasiyası və avtorizasiyası üçün geniş şəkildə tətbiq edilir.
Authentication və authorization hər hansı bir sistem və ya tətbiqin təhlükəsizliyində əsas rol oynayır. Authentication istifadəçinin kimliyini təsdiqləyir, authorization isə həmin istifadəçinin nə edə biləcəyini müəyyən edir. Bu proseslər düzgün idarə edildikdə, həm sistemlərin təhlükəsizliyi artır, həm də istifadəçilər üçün səmərəli və təhlükəsiz mühit təmin edilir. Webland AZ olaraq, bu proseslərin əhəmiyyətini vurğulamaqla, təhlükəsiz veb həllərin yaradılması üçün peşəkar xidmətlər təklif edirik