صدور مجوز Authorization

صدور مجوز یا Authorization چیست؟

صدور مجوز یا اتورایزیشن (Authorization) اصطلاحی در حوزه امنیت و کنترل دسترسی (Access Control) است و به فرایندی اشاره می‌کند که طی آن مجوز و حق دسترسی به منابع مشخص می‌شود.

این منابع ممکن است هرچیزی اعم از فایل ها، داده ها، خدمات، ویژگی‌های نرم افزاری و … باشد و مجوزها نیز می‌توانند شامل مواردی نظیر نوع منابع قابل دسترسی، محدودیت‌های دسترسی (نظیر زمان یا سهم مشخصی از منابع) و اعمالی باشد که می‌توان با کمک این منابع یا روی آن‌ها انجام داد.

درک مفهوم Authorization با یک مثال در دنیای واقعی

یک اداره خصوصی را در نظر بگیرید و فرض کنید شما کارمند بخش روابط عمومی این اداره هستید. در این صورت پس از وارد شدن به محوطه یا ساختمان اداره اجازه دارید علاوه بر اتاق خودتان، به سرویس بهداشتی، بوفه، تالار سخنرانی و سایر بخش‌های عمومی رفت و آمد کنید. البته در حالت طبیعی اجازه ورود به بایگانی یا بخش انبار را نخواهید داشت.

شما هنگام استخدام، این مجوزها را براساس قوانین سازمانی و موقعیت شغلی خود پذیرفته‌اید و در صورت تلاش برای ورود به مکانی که اجازه آن به شما داده نشده است احتمالا به صورت دوستانه یا غیردوستانه جلوی شما گرفته خواهد شد. به طور مشابه در دنیای رایانه، Authorization فرایندی است که مجوزهای شما برای دسترسی به قسمت‌های مختلف یک سیستم را مشخص می‌کند.

مجوز و کنترل دسترسی

در یک سیستم رایانه ای، مجوزها در قالب سیاست های دسترسی (Access Policy) مشخص می‌کنند هر کاربر قادر به انجام چه اعمالی روی کدام منابع می‌باشد. معمولا پس از اینکه هویت کاربر در سیستم تأیید شد (Authentication)، متناسب با سیاست‌ها و قوانین مذکور، درخواست های دسترسی کاربر توسط سیستم تایید یا رد می‌شود. نحوه تخصیص این مجوزها ممکن است بر اساس نقش کاربر (Role-based) یا ویژگی‌های پیچیده‌تر انجام شود.

به عنوان مثال کارمند بخش نیروی انسانی یک سازمان معمولا پس از لاگین کردن، مجوز دسترسی به رکوردهای مربوط به اطلاعات کلیه کارمندان سازمان را خواهد داشت. دسترسی مورد بحث احتمالا امکان خواندن، تغییر، ایجاد و حذف رکوردها را به این کارمند خواهد داد.

اغلب سیستم های چندکاربره از قابلیت کنترل دسترسی برخوردار هستند و مدیر سیستم مشخص می‌کند هر کاربر در چه سطحی مجوز دسترسی به سیستم را دارد. در این سیستم ها معمولا پس از تصدیق هویت، مجموعه‌ای از قابلیت‌ها و امکانات متناسب با مجوزهای کاربر در اختیار او قرار می‌گیرد و یا زمانی که برای دسترسی به یک منبع درخواست می‌دهد فرایند کنترل دسترسی بررسی می‌کند آیا کاربر مجوز لازم جهت دسترسی به منبع موردنظر را دارد یا خیر؟

تفاوت میان Authentication و Authorization

برای روشن‌تر شدن موضوع بهتر است به بررسی تفاوت میان مفاهیم Authentication و Authorization نیز بپردازیم. اصطلاح Authentication به معنای تصدیق هویت کاربر است در حالیکه Authorization همان‌طور که گفته شد به معنای تعیین مجوز دسترسی به منابع است.

به عبارت بهتر Authentication فرایندی است که در آن صحت اصالت یا هویت کاربر بررسی می‌شود. این فرایند زمانی کاربرد دارد که لازم است سیستم با جزئیات بیشتری بداند چه کسی می‌خواهد از آن استفاده کند. در ساده‌ترین و رایج‌ترین روش برای تصدیق هویت، هر کاربر از یک نام کاربری و کلمه عبور برای نشان دادن اینکه چه کسی است استفاده می‌کند. اما اصطلاح Authorization به فرایندی اشاره می‌کند که طی آن مشخص می‌شود آیا شما مجاز به انجام یک کار یا دسترسی به یک منبع (نظیر ویرایش رکوردهای مربوط به اطلاعات کارمندان اداره) هستید یا خیر؟

هرچند در موارد بسیاری، اعطای مجوز به یک کاربر پس از اینکه هویت او مشخص شد انجام می‌گیرد اما توجه داشته باشید الزاما این موضوع همیشه هم صادق نیست. برای مثال، شما می‌توانید در یک فروشگاه آنلاین بدون اینکه در سایت لاگین کنید (به عنوان یک کاربر گمنام یا مهمان) به فهرست کالاها و قیمت آن‌ها دسترسی داشته باشید. البته تا زمانی که با کمک نام کاربری و کلمه عبور، هویت شما در سیستم تأیید نشده باشد اجازه خرید کالا را نخواهید داشت.