或许你已经对"身份验证"的概念了然于心,知道它是一种旨在验证你身份的安全机制,需要你通过密码、口令或其他形式的凭据来证明你所宣称的客户、用户或员工身份是真实无疑的。但是,对于"授权"及其相关术语"访问控制"的概念,你可能还不够熟悉。
授权
身份验证旨在验证你的身份,一旦通过验证,即启用授权。你所拥有的身份可以进行哪些操作均由授权政策规定。例如,任何银行客户都可以创建一个账户(如用户名),并使用该账户登录该银行的网上服务,但银行的授权政策必须确保只有你有权限访问自己的网上个人账户,当然前提是你得先通过身份验证。
除网站或公司内网以外,授权机制可以应用到更为细化的层级。你的个人身份可以被纳入需满足同一授权政策规定的多个身份组成的群组中。例如,想象一下,某一数据库中同时包含客户的购买信息以及客户的个人及信用卡信息。商家可以针对这一数据库创建一项适当的授权政策,授予营销团队访问所有客户购买信息的权限,但拒绝他们访问客户的所有个人及信用卡信息,这样,营销团队便可以从无数商品中找出畅销商品进行推广或销售。
通常,在使用社交媒体时,我们也会隐式地创建授权政策:没错,Facebook、LinkedIn 或 Twitter 确实可以对数以亿计的用户进行身份验证,但在某种程度上,我们可以自己授权是否允许这些用户与我们互动,或如何与我们互动。当你从 Google Docs、Dropbox、Instagram、Pinterest 或 Flickr 等网站共享文件、视频或照片时,甚至当你在自己的笔记本上创建"共享"文件夹时,同样会出现这种情况。
访问控制
既然授权政策旨在界定某单个身份或身份群组可以访问的内容,那么访问控制(也称为许可或权限)便是我们用来实施这些政策的方式。先来看看一些实例:
- 通过 Facebook 设置 — 谁能够看见我的资料?谁能够联系我?谁能够查找我?— 我们可以允许或拒绝用户或公众访问我们在 Facebook 发的帖子。
- 通过 Google Docs 设置,我们可以针对那些我们协作使用的文档设置编辑或共享权限。
- 通过 Flickr 设置,我们可以创建或与家人、朋友或公开分享相册或图片,只要满足不同的(如知识共享)发布权许可要求即可。
- 通过 MacOS 上的分享与许可或 Windows OS 文件属性对话框中的"安全"选项卡,我们可以设置对单个文件或文件夹的访问权限。
正确配置访问权限对保护信息免受未经授权的访问和保护计算机系统免遭滥用而言至关重要,但配置访问控制并非一件易事。在下一篇博文中,我们将讨论在访问控制不足,无法防止未经授权的使用、意外披露或权限提升时,恶意用户或犯罪分子可以发起哪些攻击。