Les deux termes sont souvent utilisés conjointement en termes de sécurité, en particulier lorsqu’il s’agit d’accéder au système. Ces deux termes sont des sujets cruciaux souvent associés au web en tant qu’éléments clés de son infrastructure de services. Cependant, les deux termes sont très différents et reposent sur des concepts totalement différents. S’il est vrai qu’ils sont souvent utilisés dans le même contexte avec le même outil, ils sont complètement distincts l’un de l’autre.
L’authentification consiste à confirmer sa propre identité, tandis que l’autorisation consiste à accorder l’accès au système. En termes simples, l’authentification est le processus de vérification de votre identité, tandis que l’autorisation est le processus de vérification de ce à quoi vous avez accès.
Authentification
L’authentification consiste à valider vos informations d’identification telles que le nom d’utilisateur/l’identifiant et le mot de passe afin de vérifier votre identité. Le système détermine si vous êtes bien ce que vous prétendez être en utilisant vos informations d’identification. Dans les réseaux publics et privés, le système authentifie l’identité de l’utilisateur par le biais de mots de passe de connexion. L’authentification se fait généralement au moyen d’un nom d’utilisateur et d’un mot de passe, et parfois en conjonction avec des facteurs d’authentification, qui font référence aux différentes manières d’être authentifié.
Les facteurs d’authentification déterminent les divers éléments que le système utilise pour vérifier l’identité d’un utilisateur avant de lui accorder l’accès à n’importe quel élément, qu’il s’agisse d’accéder à un fichier ou de demander une transaction bancaire. L’identité d’un utilisateur peut être déterminée par ce qu’il sait, ce qu’il a ou ce qu’il est. En matière de sécurité, au moins deux ou les trois facteurs d’authentification doivent être vérifiés pour permettre à quelqu’un d’accéder au système.
En fonction du niveau de sécurité, le facteur d’authentification peut varier de l’un à l’autre :
Par exemple, lorsque vous introduisez votre carte de guichet automatique dans le distributeur, celui-ci vous demande de saisir votre code PIN. Une fois que vous avez saisi le code PIN correctement, la banque confirme votre identité, c’est-à-dire que la carte vous appartient réellement et que vous en êtes le propriétaire légitime. En validant le code PIN de votre carte de guichet automatique, la banque vérifie en fait votre identité, ce que l’on appelle l’authentification. Elle ne fait qu’identifier votre identité, rien d’autre.
Autorisation
L’autorisation, quant à elle, intervient une fois que votre identité a été authentifiée avec succès par le système, ce qui vous donne la permission d’accéder à des ressources telles que des informations, des fichiers, des bases de données, des fonds, des lieux, presque tout. En termes simples, l’autorisation détermine votre capacité à accéder au système et dans quelle mesure. Une fois votre identité vérifiée par le système après une authentification réussie, vous êtes alors autorisé à accéder aux ressources du système.
L’autorisation est le processus qui permet de déterminer si l’utilisateur authentifié a accès à des ressources particulières. Elle vérifie vos droits pour vous donner accès à des ressources telles que des informations, des bases de données, des fichiers, etc. L’autorisation intervient généralement après l’authentification, qui confirme les privilèges de l’utilisateur. En termes simples, c’est comme donner à quelqu’un la permission officielle de faire quelque chose ou n’importe quoi.
Par exemple, le processus de vérification et de confirmation des identifiants et des mots de passe des employés d’une organisation s’appelle l’authentification, mais la détermination de l’accès d’un employé à un étage donné s’appelle l’autorisation. Supposons que vous voyagiez et que vous soyez sur le point d’embarquer pour un vol. Lorsque vous présentez votre billet et une pièce d’identité avant l’enregistrement, vous recevez une carte d’embarquement qui confirme que l’autorité aéroportuaire a authentifié votre identité. Mais ce n’est pas tout. Un agent de bord doit vous autoriser à monter à bord du vol que vous êtes censé prendre, ce qui vous permet d’accéder à l’intérieur de l’avion et à ses ressources.
L’accès à un système est protégé à la fois par l’authentification et l’autorisation. Toute tentative d’accès au système peut être authentifiée par la saisie d’informations d’identification valides, mais elle ne peut être acceptée qu’après une autorisation réussie. Si la tentative est authentifiée mais non autorisée, le système refusera l’accès au système.
Résumé
Bien que ces deux termes soient souvent utilisés conjointement, ils ont des concepts et des significations totalement différents. Bien que les deux concepts soient cruciaux pour l’infrastructure des services web, en particulier lorsqu’il s’agit d’autoriser l’accès à un système, il est essentiel de comprendre chaque terme en ce qui concerne la sécurité. Alors que la plupart d’entre nous confondent un terme avec un autre, il est important de comprendre la différence essentielle entre eux, qui est en fait très simple. Si l’authentification correspond à ce que vous êtes, l’autorisation correspond à ce à quoi vous pouvez accéder et modifier. En termes simples, l’authentification consiste à déterminer si une personne est bien celle qu’elle prétend être. L’autorisation, quant à elle, détermine ses droits d’accès aux ressources.