Wiele aplikacji dostępnych przez przeglądarkę lub jako osobny program wymaga przejścia ekranu logowania się. Należy podać login/identyfikator/e-mail oraz hasło. System w odpowiedzi sprawdza, czy dane są prawidłowe. W przypadku błędu weryfikacji, nie pozwala na przejście dalej. Jeżeli są poprawne, udostępnia aplikację. Nie wszystkie jednak opcje mogą być dostępne dla danego użytkownika – choćby w aplikacji próbnej lub z rozbudowaną hierarchią użytkowników.
Pierwszy etap to tzw. autentykacja (ang. authentication) lub bardziej po polsku uwierzytelnianie użytkownika. Jest to czynność realizowana na bazie komunikacji użytkownika i systemu, mająca sprawdzić, czy użytkownik (osoba logująca się) jest tym, za kogo się podaje. Weryfikacja polega na sprawdzeniu jest autentyczności. Odbywa się to przy założeniu, że tylko określony użytkownik zna/posiada parę login/hasło lub dodatkowe elementy używane przy identyfikacji (odpowiedzi na zdefiniowane pytania, tokeny). Czasami ta czynność może odbywać się w sposób niezauważalny dla użytkownika (w zależności od zastosowanych mechanizmów). Jest to pierwszy krok na poniższym diagramie.
Drugi etap to autoryzacja, czyli sprawdzenie, czy ropoznany użytkownik ma uprawnienia do dostępu/wykorzystania lub innej czynności wykonywanej na danym obiekcie. O autoryzacji pisałem w poprzednim wpisie (czyli o umożliwieniu instalacji na stacji roboczej). Jest to trzeci krok na powyższym diagramie.
Trudno mówić o poprawnym przeprowadzeniu procesu autoryzacji bez informacji o użytkowniku, w “imieniu” którego ten proces ma zostać przeprowadzony. Można stwierdzić, że wynik procesu uwierzytelniania jest wejściem dla procesu autoryzacji. Z tego wniosek, że te procesy przeważnie występują razem, o ile aplikacja, system informatyczny lub dane takiej kontroli wymagają. W pewnych sytuacjach, autoryzacja może nastąpić jedynie o dane identyfikacyjne skąd nastąpiło żądanie – np. określony numer MAC komputera przy dostępie do sieci bezprzewodowej. Choć w sumie weryfikacja numerów MAC jest pewnym rodzajem autentykacji (podobnie jak para login/hasło lub linie papilarne zapisane w bazie).
Zainteresowanych szczegółami różnych sposobów autoryzacji oraz uwierzytelniania odsyłam na przykład do książki „Bezpieczeństwo danych w systemach informatycznych„.
Modelowanie procesów biznesowych 
[…] trochę od innej strony… « Autentykacja lub/i autoryzacja – razem czy osobno? […]
Prof. Janusz Stokłosa czułby się zniesmaczony użyciem makaronizmu „autentykacja” zamiast rodzinnego „uwierzytelnianie” w pobliżu tytułu jego książki. 😉
Słusznie. Poprawiłem. Tytuł pozostawiłem, a potem wyjaśniam o co mi chodzi. Niestety internet w tym temacie posługuje się częściej makaronizmem niż słowem „uwierzytelnianie”. Szkoda.
[…] identyfikacyjnych (ang. credentials). Pozwala to na: po pierwsze rozpoznanie użytkownika (czyli autentykację) a następnie udostępnienie funkcjonalności zgodnie z uprawnieniami (czyli autoryzacja). Logujemy […]
[…] z pojęciem Pay-by-link (PBL), które oznacza ze w momencie przejścia do płatności ze sklepu i zalogowaniu się do banku, dane przelewu są już wypełnione i wystarczy tylko zweryfikować (koniecznie!) i potwierdzić […]
[…] równoczesnej identyfikacji urządzenia oraz identyfikacji użytkownika pod kątem późniejszej autentykacji użyto bramek rozdzielających i łączących dla ścieżek równoległych (ang. paralel […]