¿Cuál es la diferencia entre autenticación y autorización?

Question

Accepted Answer

**Autenticación** verifica **quién eres** (identidad), mientras que **autorización** determina **qué se te permite hacer** (permisos). Son conceptos distintos pero relacionados — la autenticación viene primero (probar identidad), luego la autorización (verificar permisos). Confundirlos es un error común.

## Autenticación — ¿quién eres?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorización — ¿qué puedes hacer?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## La relación y el orden

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Errores comunes

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Por qué es importante

Entender la diferencia entre autenticación y autorización es fundamental porque son **conceptos de seguridad centrales para el control de acceso**, y confundirlos es un error común y consecuente, por lo que es conocimiento de seguridad esencial.

La distinción — **la autenticación verifica quién eres** (identidad, a través de login/credenciales/MFA) mientras que **la autorización determina qué se te permite hacer** (permisos, verificando acceso a recursos y acciones) — es fundamental en cómo las aplicaciones controlan el acceso, y comprenderlo claramente es necesario para construir sistemas seguros.

Entender la **relación y el orden** (autenticación primero para establecer identidad, luego autorización para verificar permisos por acción, ambas necesarias — un usuario autenticado aún puede estar no autorizado para acciones específicas) aclara cómo trabajan juntas en el control de acceso.

Críticamente, entender los **errores comunes** es importante: confundir los dos conceptos, y especialmente el **control de acceso quebrantado** (fallos de autorización — el #1 riesgo de OWASP) donde la autorización no se verifica adecuadamente, permitiendo a usuarios acceder o modificar lo que no deberían (como la vulnerabilidad IDOR de cambiar un ID en una URL para acceder a datos de otro usuario).

La orientación de **siempre aplicar autorización en el servidor para cada acción protegida** es práctica de seguridad esencial — una vulnerabilidad real común es no verificar la autorización adecuadamente, o depender del cliente para aplicarla.

Ya que el control de acceso (autenticación + autorización) es fundamental para la seguridad de aplicaciones y confundir o manejar mal estos conceptos lleva a vulnerabilidades serias (especialmente control de acceso quebrantado, el riesgo principal), y ya que entender la distinción, su orden, y los errores de autorización comunes es esencial para construir sistemas seguros, entender autenticación vs autorización es conocimiento de seguridad esencial, conceptos fundamentales para el control de acceso que todo desarrollador debe entender claramente, central para construir aplicaciones seguras y para evitar las vulnerabilidades de control de acceso quebrantado que son entre los fallos de seguridad más comunes y serios.