Авторизация или аутентификация в тестовом задании??

Question

[artshelom]

Всем привет. Компания дала тестовое задание, не могу понять что они имели ввиду:

Авторизация через сервис: Google

Я понять не могу, что они имели когда написали авторизация. Ведь если ввод логина и пароля, то это аутентификация или они имели ввиду вход через Oauth2 разве это будет тоже не аутентификация??

Answer 1

[xmoonlight]

Читайте.
и как сделать

Comments

[artshelom]

Я вот данные определения и прочитал. Ну во второй статье ты же подтверждаешь подлинность, разве нет?? Тебя перебрасывает на страницу аутентификации (которая почти везде названа авторизация), где просят ввести логин и пароль

[xmoonlight]

artshelom, аутентификация - это фактически получение клиентского токена перед логином и паролем.
и вслед за этим сразу же идёт авторизация, когда юзеру предлагается ввести логин и пароль.
Если без пароля (токен юзера уже есть) - это "прозрачная" авторизация.

[artshelom]

xmoonlight, А не наоборот? ты же клиентским токеном подтверждаешь права. А аутентификацией проверяешь подлинность соответствия логина и пароля

[xmoonlight]

artshelom,

идентификация — это называние лицом себя системе;

аутентификация — это установление соответствия лица названному им идентификатору;

авторизация — предоставление этому лицу возможностей в соответствие с положенными ему правами или проверка наличия прав при попытке выполнить какое-либо действие.

[artshelom]

xmoonlight, Чет я туплю. Всё равно не понял.

Смотри, когда "авторизуемся" при входе в тостер через вк или тому подобные сервисы, это хочешь сказать "авторизация". Но ведь ты устанавливаешь соответствие что ты являешься пользователем этой страницы

[xmoonlight]

artshelom, Аутентифицирует нас сторонний сервис по токену, который мы через OAuth2 указали давным-давно. А получаем мы свой доступ - вводя пароль (авторизация).
Если мы запомнили пароль ("флажок": "Запомнить меня")- это "прозрачная" авторизация.

Идентификация - это как правило DeviceID привязка клиентского устройства к аккаунту. Обычно "флажок": "Не спрашивать больше пароль для этого устройства".

Порядок такой: идентификация -> аутентификация -> авторизация -> мы залогинены как юзер.

[artshelom]

xmoonlight, Вроде понял спасибо.

[xmoonlight]

artshelom, Welcome!

[hckn]

artshelom, что ты понял? Что был прав с самого начала и тебя этот человек нагрузил тем, что сам не понимает разницы? Все верно, это не авторизация, а аутентификация. Ссылки вообще ни о чем, слабо было четко ответить?

[xmoonlight]

hckn,

что ты понял? Что был прав с самого начала и тебя этот человек нагрузил тем, что сам не понимает разницы? Все верно, это не авторизация, а аутентификация. Ссылки вообще ни о чем, слабо было четко ответить?

Докажи!

[artshelom]

hckn, Мне кажется это становиться все бессмысленнее т.к. Алексей Черемисин объяснил всё. А если перечитать переписку выше, то мы отбиваем друг друга одними и теме же аргументами.

[xmoonlight]

artshelom, Можно сравнить даже:

Аутентифицирует нас сторонний сервис по токену, который мы через OAuth2 указали давным-давно. А получаем мы свой доступ - вводя пароль (авторизация)

Аутентификация, это механизм определиния пользователя. Авторизация, механизм определения прав пользователя.

Т.е., и я, и Алексей Черемисин говорим об одном и том же.

Answer 2

[Алексей Черемисин]

Вам нужно сделать аутентификацию по протоколу oauth2. И прилепить к ней авторизацию, например из файла или базы данных.
Аутентификация, это механизм определиния пользователя. Авторизация, механизм определения прав пользователя.
Для примера. Когда я ввожу логин/пароль - аутентификация, система меня узнает и приверяет правильность логина/пароля. А вот когда я захожу ко админскому урл, происходит авторизация, система мне предоставляет доступ к закрытому ресурсу, например проверяет, есть ли у пользователя роль администратора, кастомера, зарегистрирован ли он в системе и т.д.
Начать можно с pac4j и/или apache shiro. И там и там есть примеры и для гугла и для многих фремворков. Рекомендую, по быстрому, начать с apache shiro!

И если на нужно ничего, кроме аутентификации и соцсетей, то посмотрите на java scribe - это библиотека аутентификации к соцсетям.

Comments

[artshelom]

А можно посоветовать для ANDROID, то мне для него. Его не указал т.к. не увидел в этом смысла, вопрос был в другом.

[artshelom]

Алексей Черемисин, И ведь всё равно правильно будет сказать, что нужно сделать: "Аутентификацию через сервисы: Google"?

[Алексей Черемисин]

artshelom, если это для вас принципиально, то да, развернуто будет - сделать аутентификацию через сервисы гугл.
А вот андроид зря не упомянули! В андроиде аутентификация через сервисы производителя андроида может как-то и по другому делаться! Да и немного есть разницы, gui-приложение и web-приложение.

[Алексей Черемисин]

И да, в андроиде под аутентификацией может подразумеваться например доступ к аккаунту в гуглплей. Да и наверняка в андроиде есть свое хранилище аккаунтов, добраться до которого можно только через андроид api.

[Алексей Черемисин]

А еще, я бы уточнил задание!

[artshelom]

Алексей Черемисин, Нужно сделать авторизацию в гугле и фейсбуке. Как я понял надо сделать авторизацию по нажатию на кнопку (как сделано в тосторе и др. сервисах)

[Алексей Черемисин]

Ну, тогда еще посмотрите на java scribe - это библиотека аутентификации к соцсетям. Собственно она и используется и в shiro и в pac4j для досупа по oauth. Вот и статья на сей счет - https://habr.com/company/hh/blog/278957/

PS. Правильней говорить аутентификация через гугл или фейсбук. А уже, когда пользователь аутентифицирован (да, это Петя Иванов с гугл аккаунта), то мы можем его авторизовать как просто пользователя, или суперадминистратора, зная, что это точно Петя Иванов с гугла, а не фейсбука.