Desde un punto de vista conceptual, ¿puede ocurrir una autorización sin que la autenticación tenga lugar primero? Estoy pensando en algunos casos en los que la autorización parece ocurrir sin que la autenticación tenga lugar primero:
Autenticación se trata de probar la identidad de un solicitante. La "identidad" puede ser una propiedad o requisito específico, por ejemplo, "ser ciudadano de los EE. UU." o "tener más de 21 años" (para ver algunos ejemplos de la respuesta de @ David).
Autorización se trata de decidir qué debe permitirse hacer una identidad específica. Por ejemplo, una regla de autorización puede establecer que "quien tenga más de 21 años puede comprar cerveza".
En general, necesitará que ambos tengan acceso. En el ejemplo de la cerveza, el camarero debe asegurarse de que el cliente putativo realmente tenga más de 21 años, y también debe, en algún momento, obtener la información de que la cerveza se puede vender legalmente a los clientes que tienen más de 21 años. El orden en el que realiza ambas operaciones no es relevante, siempre y cuando se cumplan. De hecho, el ejemplo de venta de cerveza es un excelente ejemplo de autorización que se produce antes de la autenticación: el camarero aprende sobre la regla de autorización ("21+ - > OK") antes de que se encuentre con el cliente.
En muchos sistemas informáticos, preferimos realizar la autenticación primero, por los siguientes motivos:
Obtener las reglas de autorización para la solicitud en cuestión puede ser costoso. No queremos hacer eso para ningún solicitante aún no autenticado, ya que podría convertirse en una Denegación de Servicio.
Los administradores de sistemas generalmente están nerviosos por hacer que sus reglas de autorización sean conocidas en general. La recopilación de información de autorización antes de la autenticación puede filtrar dicha información a cualquiera.
El único punto posible de autorización sin autenticación en el que puedo pensar, y esto se ha deducido de publicaciones anteriores, es la idea de un usuario no autenticado. En el caso de las LAN inalámbricas, si no está autenticado, está autorizado a acceder a una red restringida.
En este caso, esta red puede estar restringida a personas que no están autenticadas específicamente y la autorización se aplica antes de que se produzca la autenticación.
En este caso, se utiliza la lógica inversa, si no está autenticado, está autorizado a acceder a esta red.
Gracias
Desde un punto de vista conceptual, ¿puede ocurrir una autorización sin que la autenticación tenga lugar primero?
En realidad no.
Una aplicación web que niega el acceso a una página protegida a un usuario no autenticado;
La aplicación web debe fallar para autenticar al usuario antes de que pueda saber aplicar la regla de autorización para usuarios no autenticados. Por lo tanto, la autenticación ya ocurre antes de que el servidor sepa que debe autorizar al usuario a ver solo una página de acceso denegado.
Un cortafuegos que niega el acceso al host
Un firewall autentica un paquete basado en los puertos y las direcciones IP de origen y destino. Así que no está realmente no autenticado.
Tienes que volver al significado original de ambas palabras.
para autenticar es probar la autenticidad o validez de una afirmación o reclamo dado. Por ejemplo reclamo a americano. Tengo que demostrar que es verdad. Lo hago con un certificado de nacimiento o un pasaporte. Demuestra que soy estadounidense. He autenticado una información sobre mí. Otro gran ejemplo son tus datos de nacimiento. Vas a un bar y autenticas tu edad. Sí, tienes más de 21 años. Sí, puedes beber. Quien eres es irrelevante . La autenticación en TI generalmente consiste en probar su identidad, es decir, soy Bob.
para autorizar es permitir que un cliente realice una acción en una aplicación, un servicio o datos. En mis ejemplos anteriores, el cantinero autorizaría al cliente a beber una copa de vino.
Teniendo esto en cuenta, ¿puede pasar la autorización antes de la autenticación? Si considera la autenticación para probar su identidad, su nombre, entonces sí la autenticación puede ocurrir después de la autorización, es decir, bebo pero no he probado mi identidad.
Si, sin embargo, toma la autenticación en un sentido más amplio, entonces no, no puede autorizar sin haber autenticado primero algunas afirmaciones / afirmaciones del cliente.
La autorización puede ocurrir antes de la autenticación.
En un sistema donde las comprobaciones de autorización son económicas y rápidas, y las comprobaciones de autenticación son costosas y lentas, puede elegir realizar primero la comprobación de autorización.
Un ejemplo sería algo así como SSH. Si la cuenta de usuario está deshabilitada y los inicios de sesión no están permitidos, el servidor podría rechazar la sesión antes de que se realice una verificación de autenticación con la premisa de que incluso si el cliente puede autenticar el inicio de sesión fallaría.
Una advertencia es que este tipo de sistema permitiría que una entidad no autenticada enumere las autorizaciones de autorización.
Desde un punto de vista conceptual, la autorización puede ocurrir sin ¿La autenticación se lleva a cabo primero?
Sí, pero no antes de la identificación, que es el primer punto de control en cualquier sistema de reino.
Cuando la identificación no se produce en absoluto, solo se trata de un error de identificación en el que la autorización se puede aplicar sin autenticación.
Lea otras preguntas en las etiquetas authentication authorization