Authentification par rapport à Autorisation
Bien qu’ils soient souvent utilisés de façon interchangeable, l’authentification et l’autorisation représentent des fonctions fondamentalement différentes. Dans cet article, nous comparons et contrastons les deux pour montrer comment ils protègent les applications de manière complémentaire.
Que sont l’authentification et l’autorisation?
En termes simples, l’authentification est le processus de vérification de qui est un utilisateur, tandis que l’autorisation est le processus de vérification de ce à quoi il a accès.
En comparant ces processus à un exemple du monde réel, lorsque vous passez par la sécurité dans un aéroport, vous montrez votre pièce d’identité pour authentifier votre identité. Ensuite, à votre arrivée à la porte d’embarquement, vous présentez votre carte d’embarquement à l’agent de bord afin qu’il puisse vous autoriser à monter à bord de votre vol et permettre l’accès à l’avion.
Authentification par rapport à autorisation
Voici un aperçu rapide des différences entre l’authentification et l’autorisation :
| Authentification | Autorisation |
|---|---|
| Détermine si les utilisateurs sont bien ceux qu’ils prétendent être | Détermine ce à quoi les utilisateurs peuvent et ne peuvent pas accéder |
| Demande à l’utilisateur de valider ses identifiants (par exemple, par des mots de passe, des réponses à des questions de sécurité ou une reconnaissance faciale | Vérifie si l’accès est autorisé par des politiques et des règles |
| Généralement avant l’autorisation | Généralement après une authentification réussie |
| Généralement, transmet l’information par un jeton d’ID | Généralement, transmet l’information par un jeton d’accès |
| Généralement régi par le protocole OpenID Connect (OIDC) | Généralement régi par le cadre d'applications ou la plateforme d’authentification centralisée OAuth 2.0 ou une plateforme d’authentification centralisée |
| Exemple : Les employés d’une entreprise doivent s’authentifier via le réseau avant d’accéder à leur courriel | Exemple : après l’authentification réussie d’un employé, le système détermine les informations auxquelles l’employé est autorisé à accéder |
En bref, l’accès à une ressource est protégé par l’authentification et l’autorisation. Si vous ne pouvez pas prouver votre identité, vous ne serez pas autorisé à accéder à une ressource. Et même si vous pouvez prouver votre identité, si vous n’êtes pas autorisé à utiliser cette ressource, l’accès vous sera toujours refusé.
Auth0 propose des produits et services d’authentification, tels que authentification sans mot de passe, authentification multifacteur (MFA), et authentification unique (SSO) que vous pouvez configurer à l’aide de l’Auth0 Dashboard ou de Management API. Pour l’autorisation, Auth0 offre un contrôle d’accès basé sur les rôles (RBAC) ou une autorisation hautement détaillée (FGA).