iT邦幫忙

2025 iThome 鐵人賽

DAY 16
0
Security

從小白到資安 PM 的必修課系列 第 16

認證 vs 授權:為什麼你有票,卻不能進機房?

  • 分享至 

  • xImage
  •  

在網路安全中,我們經常聽到「認證」和「授權」這兩個詞。雖然它們聽起來很像,但它們在保護你的帳號和數據時,扮演的角色卻是截然不同的。

理解這兩者的區別,是掌握資安管理核心的關鍵。我們可以將它們想像成是搭乘捷運的兩個獨立步驟。

  1. 認證 (Authentication):你是誰?
    認證的目的,是證明「你是你所聲稱的那個人」。這是存取任何系統或資源的第一道關卡。

比喻:你走進捷運站,掏出你的 悠遊卡(或車票),將它靠近感應區。

這張卡片裡有你的身份資訊,機器會讀取並確認:「這是一張有效的、付過費的票嗎?」

一旦機器確認這張票是有效的,它就完成了「認證」。它確認你是一位合法的乘客,可以進入捷運系統。

技術應用:在網路世界中,認證就是你輸入使用者名稱和密碼、使用指紋或臉部辨識、或是透過 多重認證 (MFA) 的過程。系統的目的只有一個:確認你的身份是真實且合法的。

  1. 授權 (Authorization):你能做什麼?
    授權的目的,是決定「確認身份後,你能做哪些特定的事情」。這是比認證更深層次的權限管理。

比喻:你已經刷卡進了捷運站(通過了認證)。現在,你決定要進入一個機房或員工休息室。

雖然你有一張有效的悠遊卡,但這張卡片沒有授權你進入這些特定的、有管制的地方。

如果換成一位捷運工程師,他的卡片除了能讓他通過閘門,還被授予了進入機房的權限。

技術應用:在網路世界中,授權就是系統判斷你能夠讀取、修改、或刪除哪些檔案或功能。我們之前討論的最小權限原則、ACL 或 RBAC,都是授權的具體實踐方式。


上一篇
防火牆與 WAF:為什麼前門要擋壞人?
下一篇
API Security:API 就像插座,安全要注意什麼?
系列文
從小白到資安 PM 的必修課18
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言