什么是信息安全中的授权？

引言

授权是授予某人执行任务的权限的过程。它解释了如何确定用户是否有权访问某个资源。它可以表示用户可以访问的数据和信息。

它的另一个名称是 AuthZ。通常，授权与身份验证协同工作，以使系统能够确定谁在访问信息。**授权**是一种安全框架，用于确定用户或客户端对某些系统资源（如软件、文件、服务、数据和应用程序功能）的访问级别。

通常在授权之前需要身份验证，以验证客户的身份。通常，系统管理员 (SA) 会向特定客户和系统资源授予访问权限。

在授权过程中，系统会验证已通过身份验证的用户的访问规则，并决定授予或拒绝他们访问资源的权限。为了方便应用程序的部署和管理，现代多用户操作系统依赖于精心设计的授权流程。

对于用户类型、数量和凭证以及相关角色和操作等重要元素，都需要进行验证。例如，基于角色的授权可以分配给需要特定用户资源跟踪权限的用户组。

此外，授权可以基于企业身份验证结构，如 Active Directory (AD)，以无缝集成安全策略。例如，通过连接 Microsoft Windows 和 Internet Information Server (IIS)，ASP.NET 为基于 Web 的 .NET 应用程序提供授权和身份验证服务。

对于某些资源，Windows 通过 New Technology File System (NTFS) 支持访问控制列表 (ACL)。ACL 是资源访问的最终决定者。为了支持授权，.NET Framework 提供了一个替代的基于角色的安全机制。

与代码访问安全检查类似，基于角色的安全是一种动态方法，非常适合服务器应用程序。授权的应用程序用户根据其职责确定。

授权策略指定身份被允许执行的操作。例如，虽然任何银行客户都可以创建并使用一个身份（如用户名）登录银行的在线服务，但银行应确保在身份验证后，只有银行被允许在线访问特定账户。

授权有几个级别，因此它不仅仅局限于网站或公司内部网。一组具有共享授权策略的身份可能包含单个身份。

在计算机系统中处理授权

计算机系统中的授权规则是信息技术学科（称为身份和访问管理 (IAM)）的一部分。系统管理员可以利用授权和身份验证来控制谁被授予对系统资源的访问权限，并设置客户端权限。IT 系统处理授权服务的方式与实际的访问控制过程非常相似。

授权用例

考虑使用 Google Docs 等协作平台。

使用该软件，您可以创建和共享文档。编辑、删除和评论文档的功能是其他权限的示例。如果您是文档的所有者，您可以设置一个或多个访问策略并将文档与其他人共享。例如，您可以允许某人仅对您的作品进行评论。

在此实例中，

• 资源：文档是资源。
• 资源所有者：创建文档的人称为资源所有者。他是文档的所有者。
• 授权人：资源所有者已授予评论权限的人

下图显示了对资源的访问授权

使用授权策略定义授权

计算机系统采用多种权限技术来分发应用程序。其中最流行的两种是基于角色的访问控制 (RBAC) 和基于属性的访问控制 (ABAC)。基于关系的访问控制 (ReBAC) 是 Auth0 近期研究和解决方案的重点。还有其他选项，如自主访问控制 (DAC) 和基于图的访问控制 (GBAC)。这些解决方案都有助于应用程序开发人员处理各种授权服务和要求。

基于属性的访问控制 (ABAC) 和授权

在使用 ABAC 时，计算机系统会根据与该用户关联的某个特征（属性或声明）来确定该用户是否具有执行操作所需的访问权限。一家在线销售酒精饮料的零售商是此授权过程的一个用例。在线商店要求用户注册并提交身份证明以证明年龄。这种情况可以在授权上下文中解释如下：

• 资源所有者是在线商店。
• 酒精饮料是资源
• 在注册过程中验证的客户年龄是一项声明；它证明了用户的年龄。

为了让企业处理购买酒精的访问请求，必须出示年龄声明。因此，在本例中，访问资源是根据用户属性授予或拒绝的。

基于角色的访问控制 (RBAC) 和授权

或者，RBAC 以与角色而非用户关联的权限来处理授权。角色就是权限的集合。考虑这样一种情况：一家公司雇用您担任部门经理。在这种情况下，您需要拥有适合您职位的权限，例如分配任务、批准休假和报销申请等。系统经理会先创建一个名为“经理”（或类似名称）的职位，然后授予这些权限。然后，他们会将您关联到“经理”职位，并将这些权限授予此角色。当然，该职位也可以分配给需要相同权限集的所有其他用户。

使用 RBAC 可以简化权限管理，因为系统经理可以批量处理用户和权限，而无需单独处理每个用户。

基于关系的访问控制 (ReBAC) 和授权

在权限方面，基于关系的访问控制会考虑以下问题：“此用户与此对象或操作是否有足够的关系，以便他们可以访问它？”这种关系可以直接建立，例如通过共享文档，或者可能源于用户属性，例如属于与对象关联的角色组。

在由组、角色、组织和项目组成的网络中，有时需要查看多个节点才能建立用户与其预期任务之间的连接。实现 ReBAC 系统的个人决定哪些关系对于访问至关重要，以及这些关系授予何种类型的权限。