Tanımlar
Kimlik Doğrulama - Olduğunu iddia ettiğiniz kişi siz misiniz?
Yetkilendirme - Yapmaya çalıştığınız her şeyi yapmaya yetkili misiniz?
Misal
Bir web uygulaması Google ile Oturum Açma özelliğini kullanır . Bir kullanıcı başarıyla oturum açtıktan sonra Google geri gönderir:
- Bir JWT jetonu. Bu, kimlik doğrulama bilgilerini almak için doğrulanabilir ve kodu çözülebilir . Simge Google tarafından imzalanmış mı? Kullanıcının adı ve e-postası nedir?
- Bir erişim belirteci. Bu , web uygulamasına kullanıcı adına Google API'larına erişme yetkisi verir. Örneğin, uygulama kullanıcının Google Takvim etkinliklerine erişebilir mi? Bu izinler, istenen kapsamlara ve kullanıcının izin verilip verilmediğine bağlıdır.
Bunlara ek olarak:
Şirketin, müşteri desteğinin şirketin kullanıcılarını yönetmesine olanak tanıyan bir yönetici kontrol paneli olabilir. Şirket, müşteri desteğinin bu gösterge tablosuna erişmesine olanak tanıyan özel bir kayıt çözümü sağlamak yerine Google Oturum Açma özelliğini kullanır.
JWT jetonu (Google oturum açma işleminden alındı), kullanıcının kuruluşun barındırdığı alan adında (email@company.com) bir G Suite hesabına sahip olup olmadığını anlamak için şirketin yetkilendirme sunucusuna gönderilir mi? Ve eğer öyleyse, müşteri desteği için oluşturulan şirketin Google Grubunun bir üyesi mi? Yukarıdakilerin tümüne evet ise, bunların doğrulanmış olduğunu düşünebiliriz .
Şirketin yetkilendirme sunucusu daha sonra gösterge tablosu uygulamasına bir erişim belirteci gönderir. Bu erişim belirteci şirketin kaynak sunucusuna yetkilendirilmiş isteklerde bulunmak için kullanılabilir (ör. Şirketin tüm kullanıcılarını geri gönderen bir uç noktaya GET isteği yapma yeteneği).