authorization权限控制_认证、授权、鉴权和权限控制

1.1 认证、授权、鉴权和权限控制

​ 认证 --> 授权 --> 鉴权 --> 权限控制

1.1.1 认证(identification)

​ 认证主要是用来确认访问者的身份，确认这个人是不是这个人(常见实现方式是通过用户名和密码，以及身份证)。为了确认用户的身份，防止伪造，在安全要求高的场合，经常会使用组合认证(或者叫多因素认证)，也就是同时使用多个认证方式对用户的身份进行校验。

1.1.2 授权(authorization)

​ 授权简单说就是服务方给予访问方一个共信的媒介，如session，cookie，token，银行卡，钥匙，门禁卡等，这个媒介不可被篡改，不可随意伪造，很多时候需要受保护，防止被窃取。之后访问方可以凭借该共信的媒介，去访问或享受服务方提供的服务。服务方提供该服务前，会对该共信的媒介进行鉴权，确认是否是它们给予的媒介，确认无误后，才会提供该服务。

​ 比如你不能拿中国银行的卡去中国建设银行的ATM取钱。

1.1.3 鉴权(authentication)

​ 鉴权是基于授权后的校验。如上所说，鉴权是用来鉴别共信的媒介是否是本服务方提供的共信媒介，是的话才会提供服务。因此，鉴权的实现方式是和授权方式有一一对应关系。对授权所颁发授信媒介进行解析，确认其真实性。

​ 鉴权的输出是权限，即鉴权后能知道用户有什么权限。

​ 常见鉴权的一些实现方式：如银行卡识别器可以用来识别银行卡是不是本银行的卡；门禁卡识别器，可以用来识别是不是本楼房的门禁卡；互联卡web领域会校验session/cookie/token的合法性和有效性。

1.1.4 权限控制(access/permission control)

​ 如上所说，通过鉴权后可以知道用户拥有什么权限，这样就能知道用户能做哪些操作或者享受什么服务。比如你是尊贵VIP，那你可以免排队；比如你是会员，你可以打折；比如你是超级管理员，你可以随便增删改查所有数据。

​ 有这个权限(身份)你才可以做这些事，享受这些服务，这就是权限控制。

1.1.5 举例场景

场景：比如你要坐高铁。

你需要先买票。买票的时候，会对你提供的身份证进行核对。认证

买票成功后，会给你一张高铁票。授权

去高铁站坐高铁的时候，会检查你的高铁票。鉴权

你是买的01车厢01座位，所以你能坐在01车厢01座位这个位置。权限控制

1.1.6 认证、授权、鉴权和权限控制的关系

​ 认证、授权、鉴权和权限控制这四个环节是一个前后依次发生、上下游的关系，

​ 认证–>授权–>鉴权–>权限控制

​ 需要说明的是，这四个环节在有些时候会同时发生。 例如在下面的几个场景：

使用门禁卡开门：认证、授权、鉴权、权限控制四个环节一气呵成，在瞬间同时发生

用户的网站登录：用户在使用用户名和密码进行登录时，认证和授权两个环节一同完成，而鉴权和权限控制则发生在后续的请求访问中，比如在选购物品或支付时。

无论怎样，若从时间顺序方面来看，这四个环节是按时间前后、依次相继发生的关系。

1.1.7 认证和鉴权的关系

​ 认证主要是对用户/访问者的真实身份进行认证，如检查身份证，与用户自身相关。认证通过后才能授权，在授权前面进行。

​ 鉴权是与授权相关的，主要用来检查授权所授予的共信的媒介是否合法/通过，如银行卡，session这些。授权通过后才能鉴权，在授权后面进行。