Аутентификация или авторизация в стиле веб 2.0

На Хабрахабре появилась интересная заметка: «Идеальная авторизация» (автор: alekhinsasha) — но еще более интересными мне показались комментарии к ней. Например, я никогда не задумывался, чем отличается авторизация от аутентификации и действительно как бы покруче сделать форму аутентификации?

Как я понял, аутентификация — попытка выяснить является ли пользователь тем, за кого он пытается себя выдать (wiki). Такая проверка может быть произведена за счет какой либо уникальной информации, к примеру: логин/пароль. Помню, где-то читал, что на одном сервисе, чтобы аутентифицироваться, нужно было пройти специальный психологический тест. Другими словами, на основе введенных в профиле данных, создавался некий психологический портрет пользователя и соответствующие вопросы, завуалированные под второстепенные, которые имели свою закономерность в ответах. Не знаю, насколько это реально может работать, но идея интересная.

Авторизация — процесс, а также результат процесса проверки необходимых параметров и предоставление определённых полномочий лицу или группе лиц (прав доступа) на выполнение некоторых действий в различных системах с ограниченным доступом (wiki). Несколько более спорный термин. С одной стороны, он (термин) уже включает в себя понятие аутентификации: «процесс, а также результат процесса проверки необходимых параметров» — а с другой, если мы не наделяем пользователя какими либо дополнительными правами, то это все таки просто «аутентификация».

Аутентификация или авторизация в стиле веб 2.0

В общем, вопрос терминологии весьма спорный. Хотя, может я и ошибаюсь. Что же касается вопроса «веб 2.0 авторизации» то тут получается весьма забавная картина. Мне понравилось решение с «облаком логинов». Представьте себе Ajax форму, где предлагается ввести логин, а над ним в соответствии с вводимыми в поле символами генерируется «облако логинов». Как таковой, один и тот же «логин» может быть использован несколькими пользователями. Так что «облако логинов» не такая уж и страшная дыра в безопасности. Более того, можно сделать так? чтобы логин хранился скажем в Coockies и автоматически предлагался для пользователя, но с возможностью сброса… После того как логин выбран, средствами Ajax выводится поля для ввода пароля ну и кнопка «Submit». Думаю, что создавать «облако паролей» это уже перебор, так что «пароль» и будет основным средством аутентификации.

Однако, как мне кажется, все таки данный вариант хоть и выглядит интересно, но несколько усложняет процесс… Так что можно продолжать дорабатывать концепцию и может что-то получится как интересное так и простое.