AuthN & AuthZ

1 de novembro de 2024 Nicolau CyberSegurança, Outros 0

AuthN e AuthZ são dois conceitos centrais na área de gerenciamento de identidade e acesso (IAM), representando autenticação e autorização.

Autenticação, às vezes abreviada para “AuthN”, refere-se ao processo de verificação da identidade reivindicada de um usuário ou entidade do sistema, envolve etapas para provar “quem você é”.

Os métodos mais comuns de autenticação são o uso de senhas, biometria (como impressão digital ou reconhecimento facial), autenticação de dois fatores (como código de verificação por SMS mais senha), etc.

O objetivo da autenticação é garantir que apenas usuários ou entidades legítimas tenham acesso a sistemas ou recursos.

Autorização, abreviada também para “AuthZ”, ocorre após a autenticação bem-sucedida e determina quais recursos um usuário ou entidade autenticada pode acessar ou executar, resumindo, determine “o que você tem permissão para fazer”.

A autorização geralmente é baseada em funções (RBAC – Role-Based Access Control), permissões ou políticas de acesso específicas.

Por exemplo, um usuário pode estar autorizado a visualizar, mas não a modificar, um arquivo específico.

Juntos estes dois conceitos garantem a segurança da rede e a proteção dos dados, garantindo que cada utilizador só pode aceder a informação ou funcionalidade que lhe é permitido aceder.

Em aplicações web e designs de sistemas modernos, a implementação correta de AuthN e AuthZ é uma medida crucial de segurança.

Simplificando, a autenticação é o processo de autenticar quem é um usuário, a autorização é o processo de autenticar aquilo a que ele tem acesso.

No mundo real: ao passar pela segurança de um aeroporto, você precisa ter uma identidade autentica, que possa provar sua identidade. Depois, ao chegar no portão, é mostrado seu cartão de embarque ao comissário para que ele autorize o seu embarque no avião.

Então, no mundo digital, esses processos garantem que você é quem diz ser, por sua vez, concedendo acesso a diferentes níveis de informação e permissão para realizar funções, arquivos e dados específicos.

O acesso aos recursos são protegidos por autenticação e autorização, caso você não puder provar sua identidade, não poderá usar os recursos.

Mesmo que você possa provar sua identidade, o acesso ainda será negado se você não estiver autorizado ao recurso.

Sobre Nicolau 37 Artigos

Fuçando o desenvolvimento de software desde 2013, sou da turma do código aberto, vivo pesquisando e garimpando a segurança na web. Sommelier de sucos e chocólatra de carteirinha. Hic svnt dracones.