المصادقة تتحقق من من أنت (الهوية)، بينما التفويض يحدد ما يُسمح لك بفعله (الصلاحيات). هما مفاهيم مختلفة لكن مرتبطة — تأتي المصادقة أولاً (إثبات الهوية)، ثم التفويض (التحقق من الصلاحيات). الخلط بينهما خطأ شائع.
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
→ login with credentials (password), tokens, biometrics, multi-factor (MFA)
→ "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
→ can this user access this resource? perform this action? (roles, permissions)
→ "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
→ not checking authorization properly → users access/modify what they shouldn't
→ e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
فهم الفرق بين المصادقة والتفويض أساسي لأنهما مفاهيم أمان أساسية في التحكم في الوصول، والخلط بينهما خطأ شائع وله عواقب وخيمة، لذا من الضروري امتلاك هذه المعرفة الأمنية.
الفرق — المصادقة تتحقق من هويتك (الهوية، عبر بيانات المستخدم/بيانات الاعتماد/المصادقة متعددة العوامل) بينما التفويض يحدد ما يُسمح لك بفعله (الصلاحيات، التحقق من الوصول للموارد والإجراءات) — أساسي لكيفية تحكم التطبيقات بالوصول، وفهم هذا الفرق بوضوح ضروري لبناء أنظمة آمنة.
فهم العلاقة والترتيب (المصادقة أولاً لإثبات الهوية، ثم التفويض للتحقق من الصلاحيات لكل إجراء، مع الحاجة لكليهما — مستخدم موثق قد يكون غير مصرح له بإجراءات محددة) يوضح كيفية عملهما معاً في التحكم بالوصول.
بشكل حاسم، فهم الأخطاء الشائعة مهم: الخلط بين المفهومين، والأهم التحكم في الوصول المكسور (عيوب التفويض — المخاطر الأولى في OWASP) حيث لا يتم التحقق من التفويض بشكل صحيح، مما يسمح للمستخدمين بالوصول أو تعديل ما لا يجب (مثل ثغرة IDOR عند تغيير معرف في عنوان URL للوصول لبيانات مستخدم آخر).
التوصية بفرض التفويض على الخادم لكل إجراء محمي ممارسة أمنية أساسية — الثغرة الحقيقية الشائعة هي عدم التحقق من التفويض بشكل صحيح، أو الاعتماد على العميل في فرضه.
بما أن التحكم في الوصول (المصادقة + التفويض) أساسي لأمان التطبيق والخلط أو الخطأ في التعامل مع هذه المفاهيم يؤدي لثغرات خطيرة (خاصة التحكم في الوصول المكسور، أكبر المخاطر)، وبما أن فهم الفرق والترتيب والأخطاء الشائعة في التفويض ضروري لبناء أنظمة آمنة، فإن فهم المصادقة والتفويض معرفة أمنية أساسية وضرورية — مفاهيم أساسية للتحكم في الوصول يجب على كل مطور فهمها بوضوح، وأساسية لبناء تطبيقات آمنة وتجنب ثغرات التحكم في الوصول المكسور التي تعتبر من أكثر العيوب الأمنية شيوعاً وخطورة.