Da un punto di vista concettuale, l'autorizzazione può avvenire senza prima l'autenticazione? Sto pensando a pochi casi in cui l'autorizzazione sembra verificarsi senza che avvenga l'autenticazione prima:
Autenticazione riguarda la dimostrazione dell'identità di un richiedente. "Identità" può essere una proprietà o un requisito specifico, ad es. "essere cittadino statunitense" o "avere 21 anni" (per prendere alcuni esempi dalla risposta di @ David).
Autorizzazione riguarda la decisione su cosa consentire a un'identità specifica di fare. Ad esempio, una regola di autorizzazione può affermare che "chiunque abbia più di 21 anni può acquistare birra".
In generale è necessario che sia concesso l'accesso a entrambi. Nell'esempio della birra, il barista deve assicurarsi che il cliente putativo abbia davvero più di 21 anni, e deve anche, a un certo punto, ottenere l'informazione che la birra può essere legalmente venduta ai clienti che hanno 21 anni. L'ordine in cui esegue entrambe le operazioni non è rilevante, purché entrambi siano soddisfatti. In effetti, l'esempio di vendita della birra è un primo esempio di autorizzazione che si verifica prima dell'autenticazione: il barista viene a conoscenza della regola di autorizzazione ("21+ - > OK") prima di incontrare il cliente.
In molti sistemi di computer, preferiamo fare prima l'autenticazione, per i seguenti motivi:
Ottenere le regole di autorizzazione per la richiesta può essere costoso. Non vogliamo farlo per un richiedente non ancora autenticato, perché potrebbe diventare un Denial-Of-Service.
Gli amministratori di sistema sono solitamente preoccupati di rendere note le loro regole di autorizzazione in generale. Raccogliendo le informazioni di autorizzazione prima dell'autenticazione, queste informazioni possono essere divulgate solo a chiunque.
L'unico punto possibile di autorizzazione senza autenticazione che posso pensare, e questo è ricavato dai post precedenti, è l'idea di un utente non autenticato. Nel caso delle LAN wireless, se non sei autenticato sei autorizzato ad accedere a una rete limitata.
In questo caso, questa rete può essere limitata a persone che non sono specificamente autenticate e che l'autorizzazione viene applicata prima che avvenga l'autenticazione.
In questo caso viene utilizzata la logica inversa, se non si è autenticati, si è autorizzati ad accedere a questa rete.
Grazie
From a conceptual point of view, can authorization occurs without authentication taking place first?
Non proprio.
A web application denying access to a protected page to an unauthenticated user;
L'applicazione web non deve autenticare l'utente prima che possa sapere di applicare la regola di autorizzazione per l'utente non autenticato. Quindi l'autenticazione avviene già prima che il server sappia autorizzare l'utente a visualizzare solo una pagina di accesso negata.
A firewall denying access to host
Un firewall autentica un pacchetto basato sugli indirizzi e le porte IP di origine e destinazione. Quindi non è veramente non autenticato.
Devi tornare al significato originale di entrambe le parole.
per autenticarsi è provare l'autenticità o la validità di una determinata asserzione o rivendicazione. Ad esempio, rivendico americano. Devo dimostrare che è vero. Lo faccio con un certificato di nascita o un passaporto. Dimostra che sono americano. Ho autenticato un'informazione su di me. Un altro grande esempio sono i tuoi dati di nascita. Vai in un bar e autentica la tua età. Sì, hai più di 21. Sì, puoi bere. Chi sei è irrilevante . L'autenticazione in IT di solito è la dimostrazione della tua identità, cioè io sono Bob.
autorizzare è consentire a un client di eseguire un'azione su un'applicazione o un servizio o dati. Nei miei precedenti esempi, il barista autorizza il cliente a bere un bicchiere di vino.
Tenendo presente questo, l'autorizzazione può avvenire prima dell'autenticazione? Se consideri l'autenticazione sulla prova della tua identità, il tuo nome, allora l'autenticazione sì può avvenire dopo l'autorizzazione, cioè bevo ma non ho dimostrato la mia identità.
Se tuttavia si prende l'autenticazione in senso lato, allora non si può autorizzare senza aver autenticato prima alcune affermazioni / asserzioni del cliente.
L'autorizzazione può avvenire prima dell'autenticazione.
In un sistema in cui i controlli di autorizzazione sono economici e rapidi e i controlli di autenticazione sono costosi e lenti, è possibile scegliere di eseguire prima il controllo dell'autorizzazione.
Un esempio potrebbe essere qualcosa come SSH. Se l'account utente è disabilitato e gli accessi non sono consentiti, il server può rifiutare la sessione prima che si verifichi un controllo di autenticazione sul presupposto che anche se il client può autenticare l'accesso fallirebbe.
Un avvertimento è che questo tipo di sistema consentirebbe a un'entità non autenticata di enumerare le autorizzazioni concesse.
From a conceptual point of view, can authorization occurs without authentication taking place first?
Sì, ma non prima dell'identificazione, che è il primo checkpoint in qualsiasi sistema di dominio.
Quando l'identificazione non si verifica affatto, si tratta solo di un errore di identificazione in cui l'autorizzazione può essere applicata senza autenticazione.
Leggi altre domande sui tag authentication authorization