4.2 授权 (Authorization)

文档摘要

4.2 授权 (Authorization) 4.2 授权 (Authorization) 授权 (Authorization) 是网络安全中身份与访问管理 (IAM) 的一个关键组成部分。它确定一个经过身份验证的身份 (用户、应用程序、服务等) 被允许访问哪些资源以及能够执行哪些操作。简单来说，授权回答了“经过验证的用户/系统可以做什么？”这个问题。与身份验证 (Authentication) 确认“你是谁？”不同，授权关注的是“你被允许做什么？”。身份验证是授权的前提，只有在成功验证身份后，才能进行授权决策。 4.2.1 授权的核心概念主体 (Principal): 请求访问资源或执行操作的实体。这可以是用户、应用程序、设备或其他系统。