Весь рунет заполнен сайтами, где при логине мне говорят, что это авторизация!
Когда уже перестанут путать авторизацию с аутентификацией?

Прочтитавший эту тему, поправь свой сайт!

Хм, ну раз поперло, то на самом деле при вводе логина и пароля в форме на сайте - это не только аутентификация, но и авторизация тоже, так как после ввода логина и пароля вы будете авторизованы на доступ к функциям сайта, которые требуют учётки (ну там типа закрытые форумы, личка и прочее - зависит от сайта)

Авторизация начнётся тогда, когда я захочу получить доступ к ресурсу. Авторизация -- это проверка роли, например.
Авторизация требует аутентификации, но не является ей, если я жму "Войти".

так ты уже захотел - своим запросом. и результат получишь в соответствии с предоставленным уровнем доступа.

Есть форма логина, она проверяет имя и пароль. Никаких прав она не предоставляет. Если я жму "Войти", то никто ничего не проверяет. Проверка начнётся только тогда, когда я нажму, например, "Купить". Запрос "Купить" может перенаправить меня на страницу логина для аутентификации, но авторизацию проводить будет операция "Купить" после получения данных об аутентификации.

когда она начнется знает только разработчик. например, кнопка "купить" появляется не у всех (а например только у прошедших аутентификацию)

Авторизация круче звучит   

Cheloveck, наверняка есть случаи, когда эти понятия путают.
но для пользователя важен факт авторизации на совершение действий (на внутреннее устройство ему вообще плевать, ему удобно думать, что все нужные права предоставляются сразу/автоматически), а нужна ли для этого аутентификация и как её проводить интересует только владельца ресурса и его разработчика.

Добавлено через 2 минуты и 57 секунд
кстати как и в какой момент производится авторизация - это деталь реализации, так что

совсем необязательно

baldina
Вообще, ТС прав. Просто оно все так размыто и т.п.
Для меня "авторизация" - это ввод логина и пароля (хотя я знаю что это не так).
Аутентификатион - мля, да я язык быстрее сломаю 

НО, ААА придумали гиганты вроде циски. Но ведь мы в реальном мире живем, а не маркетинговом    

ничего не размыто. понятия разные, но обыватель вообще может быть не в курсе. ему нужно выполнить действие, ему пишут наиболее понятное в контексте, т.е. - наиболее общее.
та же кнопка "купить", например, означает завершающее действие, то ради чего её стоит нажать. однако до фактической покупки еще много чего предстоит сделать, а надпись "начать покупку" или "ввести данные для дальнейшей покупки" скорее отпугнет пользователя.

Добавлено @ 16:50
хотя согласен, слово "авторизуйтесь" похоже на спасение утопающих самими утопающими))

Это сообщение отредактировал(а) baldina - 21.7.2014, 16:50

Извини, конечно, может я что-то путаю, но если ты жмешь кнопку "Войти" - значит ты хочешь получить доступ к ресурсу и большее количество прав чем анонимус - что по сути соответствует авторизации!  

Добавлено через 4 минуты и 51 секунду


ничего не размыто. Все ясно и понятно. Авторизация без аутентификации быть не может, а на веб ресурсах исключительно от аутентификации толку ноль, там нужна авторизация. Поэтому все верно и кошерно - нужно пройти авторизацию, а до авторизации еще быстренько проскочить процедуру аутентификации! 

Этот форум работает одинаково для анонимусов и аутентифицированных пользователей до тех пор, пока я не стану писать пост. Пока я его не пишу авторизация не требуется и мои аутентификационные данные просто показываются внизу, среди читающих. Кроме того, если меня лишат прав писать посты, то я не буду авторизован это делать, несмотря на удачную аутентификацию!

Ты так уверен что он работает одинаково на каждом куске кода?? Я бы не зарекался!        

Добавлено через 47 секунд

А если тебя еще и лишат прав читать эти посты??       

Неправда. Анонимусам пишут "Привет, Гость" и "войти". И поля для ввода своего ответа в ветке нет. Это значит, что авторизация прошла и тебе предоставлены некие (минимальные) права.

Добавлено через 3 минуты и 35 секунд
Cheloveck, еще раз: про механизм авторизации конкретного ресурса достоверно знает только разработчик. Например, для  форума результат авторизации может храниться в сессии, или обновляться при каждом запросе, или обновляться при попытке выполнить действие, на которое требуется разрешение, отсутствующее в текущем списке доступа.

Поэтому на странице логина не должно быть написано "авторизация"!

Ну тут на самом деле ###*** до определения.

Это для тебя - ясно/понятно. А с точки зрении ЦИСКО ты не прав 

Ну давай создадим ресурс, на котором:
1 шаг - грузится страница для аутентификации...
2 шаг - в зависимости от того удачно прошла аутентификация или нет будет грузиться страница с приглашением для авторизации или с сообщением об ошибке
3 шаг - в зависимости от того удачно прошла авторизация или нет будет даватся права или сообщение об ошибке

интересно много ли юзверей захотят проходить n-шагов чтобы почитать пару постов ни о чем??  


Знаешь, с точки зрения ЦИСКО прав будет только разработчик ЦИСКО, поэтому можешь прямо сейчас оставить свой глупый холивар! Но если тебе так хочется - ТЫ ПРАВ!

P.S. Тем более, что мы сейчас говорим не о ЦИСКО!      

Авторизация -- дело сервера. Пользователю нечего делать на подобной странице. Авторизация должна проходить в автоматическом режиме.

я всё-ж поддержу Cheloveck'а: аутентификация - проверка, авторизация - предоставление... то есть аутентификация это юзер-сайд, а авторизация это сервер-сайд. 
в след за аутентификацией может следовать авторизация на определённые действия, а может и не следовать.
анонимусы тоже аутентифицируются (автоматически), но могут быть не авторизованы для получения контента и редиректнуты.

      

Bulat, соглашусь, что правильно писать на входе аутентификация, а почему - у меня своё объяснение  

когда вы проходите границу или таможню, фактически выполняется два шага - аутентификация посредством предъявления паспорта и сличения физиономии и авторизация - решение пограничника/таможенника что вас можно пропустить, и фактический проход.
обычно вы этот процесс рассматриваете как одно действие - проход. теперь представьте, что вместо "таможенный контроль" было бы написано "предъявление паспорта" (часто бывает общее название "контроль" и буквами поменьше "предъявите"). 

но все это игра словами. не думаю, что специалисты яндекса и вконтакте не понимают разницы, а если вчитаться - видно что понимают. 
возможно, более удачным будет нейтральное "войдите в систему". однако принципиальных несоответствий и ошибок в надписи "авторизация" я не вижу, наоборот - это более понятно и полезно, чем просто "аутентификация".

Добавлено через 5 минут и 41 секунду

а что, так и говорят - ввод (проверка) логина/пароля это авторизация? ;-)

Да хоть ПОПА пиши     Это просто называется комплекс. Мне вот тоже многое в жизни не нравится, но я же из-за этого не комплексую   А писать авторизация на странице ввода-логина и пароля никак не ошибка, я сам этого сервер-сайда на перле знаешь сколько уже напилил за свою трудовую деятельность, причем не только в вебе!  

Добавлено через 3 минуты и 34 секунды

Это не игра словами, это комплекс... Ну бывает у каждого.....   

пожалуй добавлю пять копеек.
с точки зрения системы есть несколько различных механизмов - аутентификация, авторизация, формирование контента на их основе и т.д.
для разработчика их разделение важно - для абстракции механизмов, декомпозиции проекта, технической документации.

с точки зрения пользователя есть вход в систему, в результате которого он опознан, и ему с этого момента предоставлены определенные возможности. это однократный единый процесс.
все системные процессы прозрачны для пользователя. скажем, если логин/пароль хранятся в куках, и при каждом запросе для системы все начинается с аутентификации, пользователю это неизвестно, он считает, что все время "в системе".

надписи, подписи и прочие кнопки - это UI, который разработан исключительно для пользователя, и представляет систему с его точки зрения, а не внутреннего устройства.

основной процесс комплекса задач системы по предоставлению индивидуальных возможностей конкретному пользователю - определение прав доступа - наукообразно называется авторизацией, этот термин известен большинству пользователей. поэтому использование этого названия как краткое именование всего комплекса пользователю понятно, и потому оправдано.

что до несчастной аутентификации - это обычно вспомогательная внутрисистемная задача, до которой пользователю дела нет. помимо сличения пары логин/пароль она может использоваться многократно и прозрачно для пользователя. это происходит, например, при передаче по https.

Ну так в холиварах же тема создана. И ааа (аутентификатион/авторизатион/аккаунтинг) придумала циска (если не прав киньте в меня стул ).
Вот и ТС скорей всего на этой почве понесло 

P.S. так что при чем 

в разработчиках rfc 2903-2906 сотрудники цыски не числятся. tacacs+ разрабатывался с середины 90х, но первым имхо был radius (1991)

ТС`у посчастливелось не работать с цисками. ТС -- простой программер.

_zorn_, ну что кидаю в тебя стул?? Ты сам так написал... Или хочешь на два стула наболтать??   

Это сообщение отредактировал(а) Bulat - 23.7.2014, 22:39