凤凰架构
凤凰架构
针对架构安全性方面,三个词完整描述了外部大部分资料模糊的概念,很受启发,读完后大概率不会再被乱七八糟的文章欺骗了
- 认证(Authentication):系统如何正确分辨出操作用户的真实身份?
- 授权(Authorization):系统如何控制一个用户该看到哪些数据、能操作哪些功能?
- 凭证(Credential):系统如何保证它与用户之间的承诺是双方当时真实意图的体现,是准确、完整且不可抵赖的?
认证、授权和凭证可以说是一个系统中最基础的安全设计,哪怕再简陋的信息系统,大概也不可能忽略掉“用户登录”功能。信息系统为用户提供服务之前,总是希望先弄清楚“你是谁?”(认证)、“你能干什么?”(授权)以及“你如何证明?”(凭证)这三个基本问题。