Que signifie l’autorisation ?
L'autorisation est un mécanisme de sécurité utilisé pour déterminer les privilèges utilisateur/client ou les niveaux d'accès liés aux ressources du système, y compris les programmes informatiques, les fichiers, les services, les données et les fonctionnalités des applications. L'autorisation est normalement précédée d'une authentification pour la vérification de l'identité de l'utilisateur. Les administrateurs système (SA) se voient généralement attribuer des niveaux d'autorisation couvrant toutes les ressources système et utilisateur.
Lors de l'autorisation, un système vérifie les règles d'accès d'un utilisateur authentifié et accorde ou refuse l'accès aux ressources.
Weendoz explique l'autorisation
Les systèmes d'exploitation modernes et multi-utilisateurs dépendent de processus d'autorisation efficacement conçus pour faciliter le déploiement et la gestion des applications. Les facteurs clés incluent le type d'utilisateur, son numéro, les informations d'identification nécessitant une vérification et les actions et rôles associés. Par exemple, une autorisation basée sur les rôles peut être désignée par des groupes d'utilisateurs nécessitant des privilèges spécifiques de suivi des ressources utilisateur. De plus, l'autorisation peut être basée sur un mécanisme d'authentification d'entreprise, comme Active Directory (AD), pour une intégration transparente des politiques de sécurité.
Par exemple, ASP.NET fonctionne avec Internet Information Server (IIS) et Microsoft Windows pour fournir des services d'authentification et d'autorisation pour les applications .NET basées sur le Web. Windows utilise le système de fichiers de nouvelle technologie (NTFS) pour gérer les listes de contrôle d'accès (ACL) pour toutes les ressources. L'ACL sert d'autorité ultime en matière d'accès aux ressources.
Le .NET Framework fournit une autre approche de sécurité basée sur les rôles pour la prise en charge des autorisations. La sécurité basée sur les rôles est une méthode flexible qui convient aux applications serveur et est similaire aux contrôles de sécurité d'accès au code, où les utilisateurs d'applications autorisés sont déterminés en fonction de leurs rôles.