Участвую в конкурсе «Продолжи мысль» от @systems_education

Иногда в быту мы путаем термины и называем вещи чужими именами. Например, громоотвод вместо молниеотвода, вес вместо массы, курок вместо спускового крючка, подъезд вместо парадной
Всё это лексические заблуждения, которые плотно вошли в нашу повседневность.

С развитием цифровых технологий язык обогатился новыми словами, значение которых бывает порой сложно понять. А уж отличить похожие понятия друг от друга иногда почти невозможно.

Часто ли вам приходилось слышать или видеть просьбу авторизоваться в приложении или на сайте? Мы авторизовываемся почти каждый день, используя свои логин и пароль от учетной записи.
А если в аккаунте настроена двухфакторная аутентификация, то после ввода логина и пароля нам приходит смс с кодом или поступает входящий звонок, и уже по правильно введённой комбинации цифр окончательно получаем доступ к личному кабинету и функциям приложения/сайта/программы.

Вроде, всё просто. Но почему в первом случае использовали слово «авторизация», а во втором — уже «аутентификация»? В чём сходство и отличие этих понятий?

Аутентификация и авторизация — это два разных процесса, которые связаны с получением доступа к сервису.

1. Аутентификация — это проверка личности пользователя перед предоставлением ему доступа в сервис. Самый распространённый метод аутентификации — использование уникальных учётных данных (пары логин / пароль). Пользователь вводит данные для входа, система сравнивает их с теми, что хранятся у неё и определяет, имеет ли право пользователь с такой комбинацией логина и пароля получить доступ к учётной записи.
Также личность можно подтвердить с помощью одноразового пароля или электронного ключа доступа. Двухфакторная аутентификация использует комбинацию двух разных способов подтверждения, трёхфакторная — всех трёх способов.

2. Авторизация — это определение уровня доступа пользователя к ресурсам сервиса. После того, как система подтвердила личность пользователя, она определяет, какие права ему предоставить, а какие — нет. Например, пользователь может просматривать все комментарии, но редактировать только те, которые написал он сам.
Ролевая модель — один из популярных методов управления доступами. Каждому пользователю сервиса назначается роль с уже определённым набором прав. Администратор телеграм-канала может писать и редактировать посты, управлять настройками и подписками, владелец канала может делать всё то же самое, а также управлять правами других администраторов, а простой подписчик ничем не управляет, но может читать публикации, комментировать их и оставлять свои реакции (нет-нет, я ни на что не намекаю 🕊).

Получается, когда кто-то говорит об авторизации на сайте, он скорее всего подразумевает два последовательных процесса: аутентификацию и авторизацию, определение личности пользователя и определение прав этого пользователя в системе.

P.S. Этим постом я открываю новую рубрику #глоссарий, в рамках которой мы будем говорить о разных понятиях в айти. Пишите в комментариях, какие термины вы хотели бы разобрать в нашей новой рубрике, и мы обязательно за них возьмёмся! Когда-нибудь 🙃

#продолжи_мысль_SE