<aside> 📗 Une stratégie d'autorisation d'API est une approche basée sur les ACL (Access Control Lists) qui définit les autorisations d'accès pour contrôler les actions des utilisateurs ou des clients sur une API.
Elle spécifie les règles et les restrictions d'accès attribuées à des utilisateurs ou à des groupes spécifiques, permettant ainsi de déterminer qui est autorisé à accéder à quelles ressources et quelles actions sont autorisées pour chaque entité.
</aside>
What is Authorization? - Examples and definition - Auth0
Dans cet article, tu trouveras :
What is the difference between authentication and authorization?
| Authentification | Authorization |
|---|---|
| Permet de vérifier l'identité de l'utilisateur | Détermine les ressources auxquelles l'utilisateur peut accéder. |
| S'effectue au moyen de mots de passe, de codes à usage unique, d'informations biométriques et d'autres informations fournies ou saisies par l'utilisateur | S'appuie sur des paramètres mis en œuvre et maintenus par l'organisation |
| 1ère étape d'un bon processus de gestion des identités et des accès | Intervient toujours après l'authentification |
| Visible et partiellement modifiable par l'utilisateur | Ni visible ni modifiable par l'utilisateur |
| Exemple : | |
| En vérifiant leur identité, les employés peuvent accéder à une application de ressources humaines (RH) qui comprend leurs données salariales, leurs congés et leurs données 401K. | Exemple : |
| Une fois leur niveau d'accès autorisé, les employés et les responsables RH peuvent accéder à différents niveaux de données en fonction des permissions définies par l'organisation. |