Différences entre identification, autorisation et authentification » Openid, Web Semantique » Journal » Biologeek, l'avis d'un freelance passionné par le web et son évolution

Différences entre identification, autorisation et authentification »

Extrait choisi pour mémoire (merci à David biologeek pour ses explications)

Identification : OpenID

Dans le cadre d'OpenID, l'identification permet uniquement de dire : cette URL est à moi et peut me représenter. Les providers proposent maintenant d'autres services mais la base c'est uniquement ça, aucune couche de confiance si ce n'est l'assurance d'avoir une URL derrière. Après si vous liez votre OpenID à votre page personnelle, vous ajoutez forcément un certain crédit à votre OpenID car vous garantissez l'appartenance de la page en question.

Il y a aussi des initiatives pour ajouter cette couche de confiance auprès de tiers dits de confiance (Etat, banques, etc) mais c'est une autre histoire.

Autorisation : OAuth

L'autorisation consiste à laisser l'accès ou pas à une donnée, que ce soit avec des tokens (comme OAuth), avec des URLs cachées, bref ce que vous voulez en fonction de la criticité de la donnée en question.

Aucune notion d'identité derrière ça, du moment qu'il a les clés on le laisse passer.

Ici aussi, il y a des initiatives pour combiner l'autorisation et l'identification, reste à voir comment prendre en compte l'ergonomie au passage.

Authentification : comptes utilisateurs

L'authentification cumule l'identification et l'autorisation pour un service donné, ça correspond bien souvent aux comptes utilisateurs qui définissent qui peut faire quoi sur un service. Lorsque vous vous authentifiez sur un service, vous prouvez que vous êtes la personne qui s'est préalablement enregistrée, la confiance est donc accordée par le service en question (elle peut se baser sur la vérification d'un email par exemple).

Commentaires