الفرق بين Authentication وAuthorization في الحماية

كلمتا Authentication و Authorization متشابهتان في عالم الأمن السيبراني، لكن لكل منهما دور مختلف تمامًا في حماية الأنظمة والمعلومات.

أولًا: ما هي الـ Authentication (المصادقة) ​

المصادقة هي عملية التحقق من هوية المستخدم للتأكد من أنه الشخص المصرح له بالوصول.
يتم استخدامها من قبل الخادم (Server) والمستخدم (Client) عند طلب الوصول إلى الموارد.

أشهر تقنيات المصادقة:​

1. Authentication على أساس كلمة المرور (Password-based):
   • أبسط وأشهر طريقة.
   • تتطلب اسم المستخدم وكلمة المرور للتحقق.
2. Authentication بدون كلمة مرور (OTP-based):
   • يستخدم كلمة مرور لمرة واحدة (OTP) أو رابط مؤقت لإثبات الهوية.
3. المصادقة الثنائية / متعددة العوامل (2FA / MFA):
   • أعلى مستوى أمان، يتطلب رقم PIN أو أسئلة أمان إضافية بعد كلمة المرور.
4. الدخول الموحد (SSO):
   • تسجيل دخول واحد للوصول إلى عدة تطبيقات مرتبطة تلقائيًا دون إعادة تسجيل الدخول.

ثانيًا: ما هي الـ Authorization (التفويض) ​

التفويض هو عملية تحديد ما يمكن للمستخدم الوصول إليه بعد التحقق من هويته.
يعمل عادةً بعد المصادقة لضمان أن المستخدم لديه صلاحيات مناسبة للوصول إلى الموارد.

أشهر تقنيات التفويض:​

1. التحكم في الوصول على أساس الدور (RBAC):
   • يمنح المستخدمين صلاحيات وفق دورهم داخل المنظمة.
2. JWT (JSON Web Token):
   • معيار لنقل البيانات بأمان والتحقق من صلاحيات المستخدم باستخدام مفاتيح تشفير.
3. SAML:
   • معيار لتبادل بيانات التفويض بين مزودي الخدمة باستخدام مستندات XML.
4. OpenID Authorization:
   • للتحقق من هوية المستخدم النهائي على أساس المصادقة.
5. OAuth:
   • بروتوكول يمكّن التطبيقات وواجهات برمجة التطبيقات (APIs) من الوصول للموارد المطلوبة بطريقة آمنة.

الفرق الأساسي بين المصادقة والتفويض​

العملية	الهدف	متى تحدث	أمثلة
Authentication	التحقق من هوية المستخدم	قبل الدخول إلى النظام	كلمة مرور، OTP، 2FA، SSO
Authorization	تحديد الصلاحيات والوصول	بعد المصادقة	RBAC، JWT، SAML، OAuth

الخلاصة:​

• Authentication = التأكد من "من أنت".
• Authorization = تحديد "ما يمكنك الوصول إليه".

استخدام المصادقة والتفويض معًا يوفر حماية قوية للنظام ويمنع الوصول غير المصرح به للبيانات الحساسة.