А разнице между ними мало где учат.
А в неспециальной литературе (то есть не посвященной безопасности) -- она не поминается вообще. Программистам/админам от сохи про это знать просто неоткуда.

да ну, это же элементарные вещи

я когда пришел в свою текущую фирму, был в шоке от того, что люди 10 лет пишущие софт для секьюрити постоянно путаются в этих понятиях

А верификацию с валидацией?

главное, чтобы хеширование с шифрованием не путали :)

ага, и линеаризацию с сериализацией.

хеширование с кэшированием легко спутать

Хорошо хоть идентификацию отличают )

Вот уж ее постоянно с аутентификацией путают. Например, в случае доступа к документу по секретному ключу, идентификация документа и аутентификация спросившего происходят одним действием, не?

Эм... Идентификация документа? А что это такое, хотя бы вообще?

Вообще я имел ввиду про идентификацию юзера.

В случае веб-дева, например, сессии по кукам можно считать хитрым способом идентификации. Идентификатором является, ессно, sid, который временно выдаётся после аутентификации по логину-паролю.

Например, в google docs можно дать "секретную" ссылочку на редактирование документа. В ссылочке ничего, кроме docid нет. На основании идентификации документа происходит аутентификация пользователя.

А, ну разве что так. Та же схема, что и с сессиями - по временному идентификатору, без кредентиалзов.

Я, например, тоже их путаю, в разговоре. Видимо из-за того, что происходят рядом по времени.

Эти две штуки лежат в совершенно разных слоях любой архитектуры, и по времени тоже совсем не рядом зачастую. Не понимаю как их можно путать. Кроме, естественно, длинного заковыристого названия с окончанием на "-ация" :)

Ну значит не поэтому, а из-за принадлежности к одной области знаний, которая затрагивается реже остальных.

Нда, совсем не по русски написал.

s/к одной/к одной и той же/

Ну, про "совершенно разных слоях любой архитектуры" я бы чуть поспорил ;)
Например, для RPC всяких вполне возможна (и очень удобна) модель, когда и авторизация и аутентификация реализуется через входные и выходные фильтры на методе (аспекты, по сути). Слой получается один :)

гм...
проверка существования сучности с именованием оной - и проверка прав сучности - оно сильно в разных слоях.
более точным было б - рядом по коду.
да. я зануда.

Ой, а в каком смысле тогда "слои архитектуры"? Обычно словом "слой" в этом контексте переводят layer или tier (в смысле multilayer architecture). Но, кажется, у тебя какой-то другой смысл вкладывается - а какой (не флейма ради - а действительно интересно).

Перефразирую. В разных блоках архитектурной схемы.

о.
а я сообразить не смог, шо не так, где найобка.

Да, тут с терминологией просто. Про "tiers" я забыл что они тоже "слои". Я когда архитектуру чего бы то ни было рисую, стараюсь чтоб схема была слоистая и понятная с первого, второго и третьего взгляда -- простота и элегантность рисунка как признак простоты и эффективности решения. Я эти "слои" имел ввиду :-)

Ну, "в разных блоках" - все-таки корректнее.
Если в модели нет необходимости проводить авторизацию внутри "команды" (тот же RPC без row-level, например), то слой для авторизации и аутентификации будет таки один (собственно - уровень предоставления сервиса, называется у всех по разному), а вот блоки - да, совершенно разные, в этом слое встретившиеся почти случайно.

простейшая ситуация.
рпц. тот-жеж lj-rpc. пинаем команду, всё честно, с именем, дай-ка, мол, сервер, мне авторизовацца. а сервер и говорит - на тебе строчку и подтверждай шо эт ты. а потом уже начинается аутентификация, ага. проверка паспортов-ушей-лап-хвостов.
не, не спорю - в вырожденных случаях оне влезают в один вопрос (if User.find_by_name_and_password) с параметрами сугубо из запроса - но на то и вырожденный случай.

Да это-то я все знаю, что аутентификация и авторизация в разных архитектурных блоках - это понятно. Меня просто фраза про уровни смутила, я стал думать, как это так.

Ой, ты тут аутентификацию с авторизацией не перепутал, случаем?
Сначала все-таки аутентификация (подтверди, что это ты), а уже потом авторизация (тебе таки можно запускать данный метод данного сервиса с указанными данными).

гг
порядок слов играет, да.
сам и нарвался на путанку. нехрен в рабочее время комментить.

потому шт программерам, да и админам стоит читать книжки по безопасности и не ляпать красивые слова не зная их значения.

путают слова, сами понятия вряд ли
а вот людей, которые выше пишут что-то про "слои архитектуры", нужно убить, конечно

а вот людей, которые выше пишут что-то про "слои архитектуры", нужно убить, конечно
Ага :)
Саша вообще мастер провоцировать такие перлы в комментариях ;)

А расскажи, чем отличаются!

Да все просто
Аутентификация это проверка идентичности субъекта.
Авторизация это проверка прав доступа субъекта к объекту.

один из вопросов экзамена SCEA кстати

Аутентификация - это проверка подлинности. "Проверка идентичности" в простонародье называется операцией сравнения.

у нас в конторе как-то появились одновременно две новые девочки: Виктория и Вероника. Я постояно тормозил, когда нужно было одну из них назвать по имени.
Я очень подозреваю, что в мозге хэширование слов производится по какому-то фактору, связанному с согласными, причём считается только первая часть слова, если оно длинное. И допустимы перестановки.

Поэтому мозг может легко путать некоторые слова, если его дополнительно не тренировать как-то.

Да, да. Поэтому запись слов в семитских языках - она самая правильная :)

Наверное, девочки не отличались внешней привлекательностью, поэтому ваше левое полушарие не озадачивалось разрешением коллизий.

в последнее время? гы-гы. http://dil.livejournal.com/666584.html