- Introdução ao IAM
- Autenticação vs. autorização
Autenticação vs. autorização
Autenticação e autorização são termos comuns em sistemas de computador modernos que muitas vezes confundem as pessoas. Ambos os termos estão relacionados à segurança; muitas vezes, as pessoas os consideram (e até mesmo os usam) de forma intercambiável. No entanto, como você ficará sabendo com esta leitura, autenticação e autorização têm significados e aplicações diferentes.
Se estiver com pressa, vá diretamente para a seção Autenticação vs. autorização no fim deste artigo. Porém, se quiser saber mais sobre esses assuntos, leia as próximas seções. Nelas, dois tópicos são abordados brevemente:
- O que é autenticação?
- O que é autorização?
Além de entender o que significa autenticar ou autorizar, você lerá sobre suas diferenças e semelhanças. No final, você também saberá como A Auth0 gerencia autenticação e autorização.
O que é autenticação?
Autenticação é o processo de confirmar a identidade de um usuário ou dispositivo (ou seja, uma entidade). Durante o processo de autenticação, uma entidade geralmente depende de alguma prova para se autenticar, ou seja, um fator de autenticação. Por exemplo, se você for ao banco e tentar sacar dinheiro de sua conta, o funcionário poderá pedir um documento de identidade para verificar quem você é. Nessa mesma linha, se você comprar uma passagem aérea, pode precisar usar o passaporte para provar que você é a pessoa autorizada a usar esse bilhete antes de entrar no avião. Ambos os exemplos ilustram situações da vida real em que ocorrem processos de autenticação para confirmar sua identidade (usuário autenticado).
Em uma transação digital, por exemplo, quando você tenta acessar seu perfil do Facebook ou seu cliente de webmail da empresa, um processo semelhante acontece. Nessas situações, em vez de apresentar um documento de identificação, um passaporte ou similar, você geralmente prova sua identidade mostrando ao sistema que sabe algo (como um nome de usuário e senha) ou que possui um dispositivo (como um telefone celular para que possa receber um SMS com um código). Depois de apresentar esse conhecimento ou provar que você controla um dispositivo específico, o sistema-alvo reconhece sua identidade e permite que você o acesse. Nesse cenário, o usuário autenticado usa fatores de autenticação para provar sua identidade. Esses fatores podem ser de autenticação única, autenticação de dois fatores ou autenticação multifator.
O que é autorização?
Em contraste com a autenticação, a autorização se refere ao processo de verificação dos recursos que as entidades (usuários ou dispositivos) podem acessar ou quais ações elas podem executar, ou seja, seus direitos de acesso.
Para um exemplo concreto, imagine uma situação em que você compra um ingresso para um show. Neste caso, na maioria das vezes, o estabelecimento não estará interessado em sua identidade (ou seja, em quem você é). Eles se preocupam se você está autorizado ou não a assistir ao show. Para provar que você tem o direito de estar lá, em vez de usar um documento de identificação ou um passaporte, você usa um ingresso.
Normalmente, o ingresso que o autoriza a assistir ao show não contém nenhuma informação sobre sua identidade. No entanto, mesmo que o ingresso inclua informações sobre sua identidade, não é isso que é verificado no processo de autorização.
Em aplicativos de software baseados na Internet, uma abordagem comum é usar artefatos chamados tokens para lidar com a autorização. Normalmente, depois que o usuário se conecta, os aplicativos começam a se importar com o que esse usuário pode fazer. Nesse cenário, isso leva à criação de um token que carrega os detalhes da autorização com base na identidade do usuário. O sistema usa esse token de autorização para tomar decisões de autorização, concedendo ou impedindo uma solicitação de acesso a recursos.
Autenticação vs. autorização
Embora as seções acima possam esclarecer o que significa autenticação e autorização, a definição e o uso desses termos costumam se sobrepor (o que pode ser a causa da confusão geral sobre eles). Por exemplo, no cenário do banco, a identidade do usuário apresentada ao funcionário também é usada para autorizar o acesso aos fundos em sua conta.
Em um cenário semelhante, uma empresa que exige crachás para controlar o acesso entre as salas usa esses crachás para autenticar a pessoa (nome e imagem) e para autorizar o acesso.
Isso mostra que autenticação e autorização parecem ser intercambiáveis em certos cenários, o que causa confusão.
No entanto, o ponto importante é que a autenticação leva à autorização, mas a autorização não leva à autenticação.
Embora a prova de identidade possa ser suficiente para conceder direitos de acesso (ou seja, ser autorizado a fazer algo), ter autorização nem sempre significa poder identificar uma entidade.
Por exemplo, um cartão de embarque autoriza você a entrar no avião e também contém dados sobre sua identidade. Com ele, a tripulação sabe seu nome. No entanto, um ingresso para assistir a um show pode não incluir detalhes de identidade. Ele simplesmente prova que você tem o direito de assistir ao show e nada mais.
Em resumo:
- Autenticação é o ato de identificar um usuário ou dispositivo.
- Autorização é o ato de permitir ou negar direitos de acesso a usuários e dispositivos.
- A autenticação pode ser usada como um fator nas decisões de autorização.
- Artefatos de autorização não são úteis para identificar usuários ou dispositivos.
Quer saber mais?
Continue lendo a Introdução ao IAM para conhecer outros tópicos sobre a Gestão de Identidades e Acesso.
Table of contents
Construir ou comprar?
Descubra o que fazer para atender às suas necessidades de autenticação e autorização.
Obter o boletim técnicoQuick assessment
Quais destes casos de uso descrevem sistemas de autenticação? (escolha todos os que se aplicam)
Quick assessment
Qual destas respostas está correta?