Authentication và Authorization

1. Authentication

Authentication là quá trình xác thực danh tính của người dùng. Quá trình này trả lời câu hỏi "Bạn là ai?"
Có nhiều phương pháp để thực hiện quá trình xác thực: Mật khẩu, sinh trắc học vân tay, khuôn mặt ...

2. Authorization

Khác với Authentication trả lời "bạn là ai?" thì Authorization trả lời câu hỏi "Bạn có thể làm gì?".

Authorization được thực thi sau khi Authentication hoàn thành. Điều này có nghĩa là sau khi xác định được danh tính người dùng (authentication), hệ thống sẽ tiếp tục kiểm tra xem người dùng có thể làm gì.

Các phương pháp thường dùng khi triển khai hệ thống "phân quyền":

  • Role-based authorization: Phân quyền dựa trên vai trò của người dùng
  • Object-based authorization: Phân quyền theo đối tượng