Identification, Authentication və Authorization arasında fərq

Proqramlaşdırmada təhlükəsizlik haqqında danışanda adətən bu 3 konsept qarışıq salınır. Bəzən Identification hissəsi ümumiyyətlə yada salınmır, əsas söhbət digər 2 konseptdən gedir.

Misala keçməmiş, bir nüansı da qeyd edim. Bu konseptlər 2 tərəf arasında baş verən prosesləri göstərir: Subyekt və obyekt. Subyekt bu işi görmək istəyən aktiv tərəf, obyekt isə üzərində iş görülən passiv tərəfdir. İnformasiya texnologiyalarında subyekt istifadəçi, proses, proqram və s. ola bilər. Obyekt isə subyektin istifadə etmək istədiyi ( accessing) hər hansı fayl, hətta proses, database, cihaz, proqram, sayt, məlumat və s. sayıla bilər.

Bu gün biz, qısa olaraq hər 3 konseptin fərqlərinə baxaq və daha real misallarla başa düşək.

Güman edək ki, yaraşıqlı və bahalı kostyum-şalvarlı, qara eynəkli, qulaqlarında mühafizəçilərin qulağında olduğu kimi qulaqcıq olan Fərid adlı subyektimiz məxfi materialların fiziki və rəqəmsal saxlandığı bir binada işləyir. Səhər tezdən işə gəlib, binanın qarşısındadır. Binaya giriş etmək üçün giriş kartını turniketə yaxınlaşdırmalıdır. Fərid pencəyin cibindən 3 kart çıxardır. Bu kartların biri marketin bonus kartı, digəri idman zalına giriş kartı, sonuncu isə iş yerinin giriş kartıdır. Sözsüz ki, zala girdiyi kartla iş yerinə girə bilməz, bunun üçün o iş yeri kartını turniketə yaxınlaşdırır (1), bundan sonra turniketdən təsdiq səsi gəlir (2), sistem Fəridin bu binada işlədiyini qəbul etdi. Fərid foyeyə daxil olur, gizli məlumatlar saxlanılan server otaqları mərtəbəsinə gedir. Hər bir server otağının qapısı da kart tanıma sistemi ilə təchiz edilib. Fərid əlindəki telefona başı qarışıq olduğundan, səhvən 5 nömrəli server otağının qarşısında dayanır və gözünü telefondan çəkmədən, kartı qapıya yaxınlaşdırır. Qapıya quraşdırılmış sistem bu dəfə imtina səsi verən cingiltili səs verir və qapı açılmır (3) , Fərid bu səsdən ayılır və telefonu bağlayıb, təmizlik işçiləri üçün olan otağın qarşısına gedir və qapını kartı ilə açır (3) və əynini dəyişərək, bu mərtəbədə təmizlik işlərinə başlayır :)

• Identification — yuxarıdakı misalda (1) kimi qeyd etdiyim situasiya identifikasiya adlanır. Yəni, subyekt obyektdən istifadə üçün, öz giriş kartından istifadə edir. Sayta giriş etmək üçün loqin və şifrədən istifadə edə bilərik və s. Giriş üçün ( əslində bu tək girişlə bağlı deyil, məsələn obyektin, prosesin istifadəsi və s. kimi) məlumatlarımızın təqdim edilməsi identification adlanır.

• Authentication — (2) kimi qeyd etdiyim hissədə, identifikasiya üçün təqdim edilmiş üsul qəbul edilmişdir. Saytda girişlə müqayisə etsək, identifikasiya zamanı yazdığımız loqin və şifrə sistem tərəfindən yoxlanmış və belə istifadəçi olduğu qəbul olunmuşdur.

• Authorization — (3) kimi qeyd etdiyim hissələrə baxaq. Fərid binaya giriş hüququna sahib olsa da, onun ancaq müəyyən otaqlara giriş imkanı var. Digər otaqlara girə bilmək üçün səlahiyyətləri yoxdur. Saytla müqayisə etsək, biz saytda qeydiyyatdan keçmişik, istifadəçi kimi nə istəsək edə bilərik, amma sayt inzibatçısı kimi, saytda dəyişiklik edə bilmərik. Sayt inzibatçısı istənilən istifadəçini, xəbəri, şərhi silə bilir, ancaq biz öz yazdığımız xəbəri, şərhi silə bilərik, amma heç bir istifadəçini sistemdən silə bilmərik.