Authentication vs Authorization

Cả 2 thuật ngữ Authentication và Authorization sử dụng kết hợp với nhau để nói về vấn đề bảo mật, đặc biệt là quyền truy cập vào hệ thống phần mềm.

    + Authentication (xác thực): xác nhận danh tính của riêng bạn 👉 Xác minh bạn là ai?
    + Authorization (ủy quyền): phân quyền truy cập vào hệ thống  👉 Xác minh bạn có thể làm gì trong hệ thống ? (authorization chỉ xảy ra khi bước authentication thành công)
VD: Tại trang web đăng kí môn học của trường Đại học Nông Lâm TP.HCM (https://dkmh.hcmuaf.edu.vn/)
    + Authentication: SV/GV đăng nhập vào hệ thống dkmh bằng tài khoản nhà trường cấp (mssv/username, mật khẩu)
    + Authorization: sau khi đăng nhập vào hệ thống thành công thì mỗi user sẽ có những quyền nhất định:

• Sinh viên chỉ xem điểm, lịch thi, học phí, đăng kí môn học... của mình mà không xem được thông tin liên quan của sinh viên khác

• Giảng viên chỉ xem danh sách sinh viên, nhập điểm, xem điểm, sửa điểm,... trong những môn mình dạy mà không thao tác được với những lớp không phải mình dạy,...

• Phòng đào tạo có quyền sửa điểm, tạo mới môn học trong học kì,...

Tùy theo mức độ bảo mật mà chia thành nhiều dạng authentication khác nhau như:

• Single-factor authentication: chỉ đơn thuần xác thực người dùng bằng mật khẩu là có thể truy cập vào hệ thống

• Two-factor authentication (2FA)  = single-factor authentication + 1 thứ mà chỉ người dùng biết (ví dụ: sau khi đăng nhập bằng username, password thì người dùng cần sử dụng thiết bị di động để nhắn tin, gọi điện hoặc sử dụng 2FA cá nhân hóa cho doanh nghiệp để xác minh danh tính)

• Multi-factor authentication (MFA): đăng nhập tài khoản gồm nhiều bước, trong đó người dùng cần nhập thêm thông tin khác ngoài mật khẩu để xác thực người dùng (ví dụ: cùng với mật khẩu, người dùng có thể được yêu cầu nhập mã gửi qua email, trả lời câu hỏi bí mật hoặc quét vân tay.)