Jaký je rozdíl mezi autentizací a autorizací?

Question

Accepted Answer

**Autentizace** ověřuje **kdo jste** (identita), zatímco **autorizace** určuje **co smíte dělat** (oprávnění). Jsou to různé, ale související koncepty — autentizace přichází první (prokažte identitu), pak autorizace (zkontrolujte oprávnění). Jejich záměna je běžná chyba.

## Autentizace — kdo jste?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorizace — co můžete dělat?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Vztah a pořadí

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Běžné chyby

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Proč na tom záleží

Pochopení rozdílu mezi autentizací a autorizací je základní, protože jde o **klíčové bezpečnostní koncepty centrální pro řízení přístupu**, a jejich záměna je běžná a vážná chyba, takže je to podstatné bezpečnostní znalosti.

Rozdíl — **autentizace ověřuje kdo jste** (identita prostřednictvím přihlášení/pověření/MFA), zatímco **autorizace určuje co smíte dělat** (oprávnění, kontrola přístupu k prostředkům a akcím) — je základní pro to, jak aplikace řídí přístup, a jasné pochopení je nezbytné pro budování bezpečných systémů.

Pochopení **vztahu a pořadí** (autentizace první pro ověření identity, pak autorizace pro kontrolu oprávnění pro každou akci, obě jsou potřebné — autentizovaný uživatel může být stále neoprávněný pro konkrétní akce) objasňuje, jak spolu v řízení přístupu fungují.

Kriticky je důležité pochopit **běžné chyby**: záměna obou konceptů, a zvlášť **porušené řízení přístupu** (chyby autorizace — OWASP #1 riziko), kde autorizace není správně kontrolována, což umožňuje uživatelům přistupovat nebo měnit co by neměli (jako IDOR zranitelnost změny ID v URL pro přístup k datům jiného uživatele).

Pokyn **vždy vynucovat autorizaci na serveru pro každou chráněnou akci** je nezbytná bezpečnostní praxe — běžná vážná zranitelnost je selhání řádné kontroly autorizace nebo spoléhání se na klienta pro její vynucení.

Protože řízení přístupu (autentizace + autorizace) je základní pro bezpečnost aplikací a záměna nebo špatné řešení těchto konceptů vede na vážné zranitelnosti (zejména porušené řízení přístupu, nejvyšší riziko), a protože pochopení rozdílu, jejich pořadí a běžných chyb autorizace je nezbytné pro budování bezpečných systémů, je pochopení autentizace vs autorizace nezbytné, základní bezpečnostní znalosti — klíčové koncepty pro řízení přístupu, které každý vývojář musí jasně chápat, centrální pro budování bezpečných aplikací a vyhýbání se zranitelnostem porušeného řízení přístupu, které patří mezi nejčastější a nejvážnější bezpečnostní chyby.