产品背景知识：鉴权与认证

原创于 2025-06-25 18:29:27 发布 · 642 阅读

CC 4.0 BY-SA版权

文章标签：

25 篇文章

订阅专栏

认证（Authentication）：
确认用户或实体“是谁”的过程，即验证身份的真实性。例如：通过密码、指纹、证书等方式证明“你是你声称的那个人”。
鉴权（Authorization）：
确认“认证通过的用户有什么权限”的过程，即决定用户可以访问哪些资源、执行哪些操作。例如：管理员可修改系统配置，普通用户只能查看数据。

维度	认证（Authentication）	鉴权（Authorization）
目的	验证身份合法性（“你是谁”）	分配操作权限（“你能做什么”）
关键问题	“该用户是否是其声称的身份？”	“该用户是否有权限执行此操作？”
常见实现	密码验证、生物识别、双因素认证（2FA）、Token令牌等	访问控制列表（ACL）、角色基于访问控制（RBAC）、属性基访问控制（ABAC）等
输出结果	身份是否有效（是/否）	权限列表或操作许可（允许/拒绝）
应用场景	登录界面、身份核验	资源访问控制、功能权限分配

依赖关系：
认证是鉴权的前提——先完成认证，再进行鉴权。
若未通过认证（身份不合法），则系统不会进入鉴权环节；只有确认用户身份后，才能根据其身份分配对应的权限。

执行流程示例：

用户请求访问资源 → 系统要求认证（输入密码）→ 认证通过（确认身份）→ 系统根据身份（如“管理员”）判断是否有权限访问 → 鉴权通过，允许操作

基于知识的认证：
- 密码、PIN码、安全问题（如“你母亲的生日”）。
- 缺点：易被破解（如字典攻击、社工攻击），需配合密码复杂度策略（大小写、数字、符号组合）。
基于拥有物的认证：
- 物理令牌（如U盾）、手机短信验证码、硬件密钥（如Google Authenticator）。
- 优点：结合“持有物”增加安全性，实现双因素认证（2FA）。
基于生物特征的认证：
- 指纹、面部识别、虹膜扫描、声纹识别等。
- 优点：生物特征唯一性高，难以伪造；缺点：存在隐私泄露风险（如面部数据被盗用）。
现代认证协议：
- OAuth 2.0：第三方授权协议（如“用微信账号登录其他APP”），避免直接暴露密码。
- JWT（JSON Web Token）：轻量化令牌，用于前后端分离场景下的身份验证，携带用户信息。

访问控制列表（ACL, Access Control List）：
- 为每个资源单独配置允许/拒绝的用户列表。
- 示例：文件系统中设置“用户A可读写，用户B仅可读”。
- 缺点：当用户或资源数量庞大时，管理成本极高。
角色基于访问控制（RBAC, Role-Based Access Control）：
- 将权限赋予“角色”（如“管理员”“普通用户”），用户通过分配角色获取权限。
- 示例：企业中“财务角色”可访问财务系统，“研发角色”可访问代码仓库。
- 优点：简化权限管理，符合企业组织架构。
属性基访问控制（ABAC, Attribute-Based Access Control）：
- 根据用户属性（如部门、职位、时间、地理位置等）动态决定权限。
- 示例：“财务部员工在工作日9:00-18:00可访问工资系统”。
- 优点：灵活性高，适合复杂场景（如云计算、动态权限调整）。
鉴权策略：
- 最小权限原则：用户仅获得完成任务所需的最低权限，降低攻击面（如普通用户不能修改系统文件）。
- 默认拒绝原则：未明确允许的操作默认拒绝，增强安全性。

概念：整合认证、鉴权、账号管理、权限审计等功能的体系，用于统一管理企业内用户身份与权限。
核心组件：
- 身份提供者（IdP）：如Active Directory、Okta，负责认证用户身份。
- 权限管理系统：实现RBAC、ABAC等模型，分配权限。
- 审计日志：记录用户操作，用于合规性检查和安全追溯。