Authorization(권한부여)
일반 정보 보안 및 컴퓨터 보안, 특히 액세스 제어와 관련된 리소스에 대한 액세스 권한/특권을 지정하는 기능이다.
좀 더 공식적으로 권한 부여는 액세스 정책을 정의하는 것이다.
Authentication(인증)
컴퓨터 시스템 사용자의 신원과 같은 어설션을 증명하는 행위이다.
인증은 그 신원을 확인하는 과정이다.
Authentication(인증)
사용자를 식별하고 사용자가 누구인지 확인하는 프로세스
한 단어로 표현하면 로그인
Authentication(인증) 기술
- 암호
- 가장 일반적인 인증 요소
- 사용자의 ID를 확인하기 위해 암호를 사용하는 방법
- Passwordless 인증
- OTP 또는 등록된 이메일 또는 전호번호로 전달되는 매직링크를 통해 인증
- 2FA/MFA
- 추가적인 인증 요소를 사용하는 방법으로 보안성을 높인다.
- Biometric 인증
- 생체 인식 기술(지문, 안면 인식, 홍채 인식 등)을 이용한 인증 방법
- SSO(Single Sign-On)
- 단일 자격 증명 세트로 여러 어플리케이션에 액세스할 수 있다.
Authorization(권한부여)
사용자 ID가 성공적으로 인증된 후에 발생함!!
데이터베이스, 자금 및 기타 중요한 정보과 같은 리스소에 대한 액세스 권한을 제공하는 것
Authorization(권한부여) 기술
- RBAC(역할 기반 접근 제어)
- 컴퓨터 시스템 보안에서 권한이 있는 사용자들에게 시스템 접근을 통제하는 방법
- 사용자에게 조직 내 역할에 따라 정보에 대한 액세스 권한을 부여하는 것
- JSON 웹 토큰(JWT)
- 두 당사자 간의 데이터를 안전하게 전송하기 위한 공개 표준
- 사용자는 공개 / 개인 키 쌍을 사용하여 권한을 부여받음
- SAML
- 디지털 서명이 있는 XML 문서를 통해 인증 정보가 교환되는 표준 SSO 형식
- OpenID
- authorization 서버의 authentication을 기반으로 사용자 신원을 확인함
- Authentication에 더 가까움
- OAuth
- API가 요청된 시스템 또는 리소스를 인증하고 액세스할 수 있도록 함
요약
| Authentication(인증) | Authorization(권한부여) |
|---|---|
| 사용자가 자신이 주장하는 사람인지 확인하는 프로세스 | 사용자가 액세스할 수 있는 항목과 액세스할 수 없는 항목을 결정하는 프로세스 |
| 사용자가 자격 증명을 확인하도록 요청함(암호, 보안 질문에 대한 답변 등등) | 정책 및 규칙을 통해 접근 허용 여부를 확인 |
| Authorization 전에 완료 | Authentication 후에 수행 |
Reference
비슷해보이지만 다른 두 친구를 소개합니다. Authentication vs Authorization | 아웃풋 트레이닝
