認証と許可

概念として明確に区別できていなかったので備忘録として。

Webなどでアクセスを制御するとき、2つのプロセスが存在する。

認証（ユーザーが誰かを確認する）
許可（そのユーザーがアクセスを許可されているかどうかを確認する）

英語でも、「Authentication（認証）」と「Authorization（許可）」とに分かれている。たまにモジュール名やメソッド名で “auth” という省略語を使ってたけど、これじゃどっちを指してるのか明確ではないですね。気をつけよう。

ちなみに、認証と許可は別物だけど、どちらで失敗してもエラーは区別しないほうがいい場合がある。これは、攻撃者に、認証で失敗したのか、あるいは認証は成功した（IDとパスワードはひとまず合っている）けど許可で失敗したのかを悟られないようにするためだそうな。なるほどね。

About this entry

Published:: 2008/12/17

Category:: personal note, web development

Tags:: No tags for this post.

Response:: 0 comment | 0 trackback

Bookmark:: 1 users 0 user 0 user

Tweet

No Trackbacks

trackback uri:

コメントやトラックバックは承認待ちになる場合がありますので、すぐに反映されない場合はしばらくお待ちください。

No comments

Jump to comment form

コメントはこちらから

XHTML: 次のタグが使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Gravatar に対応しています。

Categories

Pages

Copyright

Creative Commons License

Recently

Tags