安全Popular
身份验证
验证用户、设备或系统身份的过程。回答"你是谁?"这个问题(与授权相对,授权回答"你能做什么?")。
定义
身份验证(AuthN)通过您知道的东西(密码)、您拥有的东西(安全密钥)或您本身的特征(生物识别)来确认身份。现代身份验证包括:基于密码的登录、OAuth/OIDC(社交登录)、魔法链接、通行密钥和多因素身份验证(MFA)。授权(AuthZ)是独立的——它在确认身份后确定权限。
为什么重要
身份验证漏洞持续位列OWASP Top 10。弱身份验证导致账户被接管、数据泄露和合规违规。最佳实践包括:强密码策略、强制MFA、安全会话管理。
示例
用户输入电子邮件和密码(身份验证)。系统对照数据库验证凭据。成功身份验证后,授权层检查用户是否有权访问管理仪表板。
相关术语
authenticationwhat is authenticationauthn vs authzauthentication vs authorizationuser authentication