Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Question

Accepted Answer

**Authentifizierung** verifiziert **wer du bist** (Identität), während **Autorisierung** bestimmt **was du tun darfst** (Berechtigungen). Sie sind unterschiedlich, aber zusammenhängend — Authentifizierung kommt zuerst (Identität nachweisen), dann Autorisierung (Berechtigungen prüfen). Sie zu verwechseln ist ein häufiger Fehler.

## Authentifizierung — wer bist du?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorisierung — was darfst du tun?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Die Beziehung und Reihenfolge

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Häufige Fehler

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Warum es wichtig ist

Den Unterschied zwischen Authentifizierung und Autorisierung zu verstehen ist grundlegend, da sie **zentrale Sicherheitskonzepte der Zugriffskontrolle** sind und sie zu verwechseln ein häufiger und folgenreicher Fehler ist — deshalb ist dieses Sicherheitswissen unverzichtbar.

Die Unterscheidung — **Authentifizierung verifiziert wer du bist** (Identität, über Login/Anmeldedaten/MFA), während **Autorisierung bestimmt was du tun darfst** (Berechtigungen, Überprüfung des Zugriffs auf Ressourcen und Aktionen) — ist grundlegend dafür, wie Anwendungen den Zugriff kontrollieren, und sie klar zu verstehen ist notwendig für die Erstellung sicherer Systeme.

Das Verständnis der **Beziehung und Reihenfolge** (Authentifizierung zuerst zur Identitätsbestätigung, dann Autorisierung zur Überprüfung der Berechtigungen pro Aktion, wobei beide erforderlich sind — ein authentifizierter Benutzer kann für spezifische Aktionen immer noch nicht berechtigt sein) verdeutlicht, wie sie bei der Zugriffskontrolle zusammenwirken.

Entscheidend ist, dass das Verständnis der **häufigen Fehler** wichtig ist: die beiden Konzepte zu verwechseln, und besonders **defekte Zugriffskontrolle** (Autorisierungsfehler — OWASPs #1-Risiko), wobei die Autorisierung nicht ordnungsgemäß überprüft wird und Benutzer auf das zugreifen oder ändern können, was sie nicht sollten (wie die IDOR-Schwachstelle, bei der eine ID in einer URL geändert wird, um auf Daten eines anderen Benutzers zuzugreifen).

Die Richtlinie, **Autorisierung auf dem Server immer für jede geschützte Aktion durchzusetzen** ist eine wesentliche Sicherheitspraxis — eine häufige echte Schwachstelle ist das Versäumnis, die Autorisierung ordnungsgemäß zu überprüfen, oder sich darauf zu verlassen, dass der Client sie durchsetzt.

Da Zugriffskontrolle (Authentifizierung + Autorisierung) grundlegend für die Anwendungssicherheit ist und das Verwechseln oder Fehlbehandeln dieser Konzepte zu ernsthaften Schwachstellen führt (besonders defekte Zugriffskontrolle, das Top-Risiko), und da das Verständnis der Unterscheidung, ihrer Reihenfolge und der häufigen Autorisierungsfehler wesentlich für die Erstellung sicherer Systeme ist, ist das Verständnis von Authentifizierung vs. Autorisierung wesentliches, grundlegendes Sicherheitswissen — zentrale Konzepte für die Zugriffskontrolle, die jeder Entwickler klar verstehen muss, zentral für die Erstellung sicherer Anwendungen und zur Vermeidung der Schwachstellen bei defekter Zugriffskontrolle, die zu den häufigsten und ernsthaftesten Sicherheitsfehlern gehören.