认证与授权的区别|面向IT护照考试整理OAuth・MFA・SSO
讲解认证(Authentication)与授权(Authorization)的区别,以及多要素认证(MFA)、单点登录(SSO)、OAuth、SAML等IT护照考试中频繁出现的安全术语。
认证与授权是两回事
**认证(Authentication)是确认“你是谁?”,而授权(Authorization)**是决定“允许你做什么?”。认证必须先进行,然后根据其结果决定授权。记住登录时确认身份(认证)→ 根据角色允许操作(授权)这个顺序,就能应对考试中大部分选择题。
认证的三大要素
认证包括知识(What you know)、持有(What you have)和生物特征(What you are)三大要素。知识包括密码、PIN码、密保问题;持有包括IC卡、手机应用、硬件令牌;生物特征包括指纹、面部、虹膜、静脉。考试中频繁出现的注意点是“即使重复使用同一要素两次,也不构成多要素”,例如密码加密保问题虽然是两步验证,但并非多要素认证。
多要素认证(MFA)与两步验证
**多要素认证(MFA)**是组合上述三大要素中两种或以上不同种类的认证方式。例如,密码(知识)加上手机通知(持有)就构成多要素认证。两步验证是指认证过程分两步进行,即使要素相同也能成立,但其安全强度低于多要素认证。
单点登录(SSO)
单点登录(SSO)是一种只需一次认证即可自动登录多个服务的机制。它不仅提高了用户的便利性,还具有集中管理ID、离职时立即切断访问权限等管理方面的优势。典型的实现方式包括在企业内部系统间广泛使用的SAML,以及基于OAuth 2.0构建的OpenID Connect。
OAuth 与 OpenID Connect
OAuth 2.0 是用于授权的协议,用于权限委托,例如“允许此应用访问我的Google账户的部分权限”。OpenID Connect(OIDC) 是扩展了OAuth 2.0的认证协议,其典型例子是“使用Google登录”。OAuth负责授权,OpenID Connect负责认证,这一对比在考试中经常被问及,请务必区分清楚。
访问控制的方式
基于角色的访问控制(RBAC) 是一种为用户分配管理员、普通用户等角色,并根据角色设置权限的方式。基于属性的访问控制(ABAC) 是一种更灵活的方式,它结合用户属性、资源属性和环境属性来动态判定权限。
IT护照考试的出题要点
主要围绕认证与授权的术语识别、三大要素的分类问题、以及选择MFA正确组合的题目。SSO的优缺点,以及OAuth与OpenID Connect的角色差异也频繁出现。
相关术语
学习技巧
练习将认证概括为“是谁?”,授权概括为“能做什么?”,这样一看到题目就能立刻判断。用“知道的、拥有的、自身的”来记忆三大要素,并明确区分MFA是“两种以上不同要素”,两步验证是“步骤分两次”。
总结
掌握认证与授权的区别、三大要素、MFA/SSO/OAuth的用途,就能应对几乎所有高频考题。如需全面练习技术类内容,请参考技术类汇总;如需模拟考试,请前往模拟考试。
関連記事
网络攻击类型总结|面向IT护照考试整理的恶意软件、勒索软件、定向攻击
针对IT护照考试中涉及的勒索软件、定向攻击、SQL注入、XSS、钓鱼、DoS等网络攻击类型及对策进行整理。
数字签名与时间戳的原理|IT护照考试备考
整理数字签名(电子签名)的原理、时间戳的作用、PKI与认证机构(CA)的关系,范围涵盖IT护照考试所问内容。
防火墙·WAF·IDS/IPS的区别|IT护照考试对策
针对IT护照考试,整理了保护网络的代表性安全设备——防火墙、WAF、IDS、IPS的作用、工作层区别及出题要点。