Authorization : Sự ủy quyền, sự cho phép (từ điển) - tức là thông qua quá trình Authentication 1 User chẳng hạn, ta sẽ xác định User này có quyền gì, được phép làm gì .
Access Control : Điều khiển truy cập, liên quan đến việc quản lý truy cập của các User, thông qua việc Identification một User, kết hợp với các Rule (luật) được người quản lý cung cấp mà cho phép hay không cho phép (Allow / Deny) User đó thực hiện những hành động nhất định.
Theo Wikipedia, thì Access Control gồm 2 bước : bước 1 chính là Authorization - và bước 2 là Approve hay Disapprove
Ví dụ :
Sau khi 1 nhân viên đăng nhập thành công vào máy tính của công ty, quyền của anh ta là truy cập ổ đĩa D, E, sử dụng Microsoft Office - đây là Authorization .
Anh ta truy cập ổ C thì bị cấm - truy cập ổ D, E thì được phép - Đây chính là Access Control
*Chú ý : Authorization chỉ xảy ra khi User đã qua bước Authentication, còn Access Control thì không cần .
*Chú ý
Về Authorization : Điều này vẫn không đảm bảo User này chính là User trong Identification
(
Ví dụ :
1/ Bạn được mình cho Username / Password Yahoo - vậy là quá trình Identification và Authentication thành công - trong khi bạn không phải là mình
2/ Thằng em mình có thể cầm thẻ ATM của mình để đi rút tiền, nhét thẻ vào và nhập mã PIN (Authentication) - ở đây còn không có bước Identification nữa - vì máy ATM không bắt nhập Username bao giờ.
)
Xem thêm tại : http://techliberation.com/2006/07/13/identification-authentication-and-authorization/
http://httpd.apache.org/docs/1.3/howto/auth.html
