Mitä eroa on autentikoinnilla ja autorisoinnilla?

Question

Accepted Answer

**Autentikointi** varmistaa **kuka olet** (identiteetti), kun taas **autorisointι** määrittää **mitä saat tehdä** (käyttöoikeudet). Ne ovat erillisiä mutta liittyviä käsitteitä — autentikointi tulee ensin (todista identiteettisi), sitten autorisointι (tarkista käyttöoikeudet). Niiden sekoittaminen on yleinen virhe.

## Autentikointi — kuka olet?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorisointι — mitä voit tehdä?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Suhde ja järjestys

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Yleiset virheet

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Miksi se on tärkeää

Autentikoinnin ja autorisoinnin ero on välttämätöntä ymmärtää, koska ne ovat **perustavanlaatuisia turvallisuuskäsitteitä, jotka ovat keskeisiä pääsynvalvonnalle**, ja niiden sekoittaminen on yleinen ja vakava virhe, joten se on olennaista turvallisuustietoa.

Ero — **autentikointi varmistaa kuka olet** (identiteetti, kirjautumisen/tunnistetietojen/monivaiheisen tunnistautumisen kautta) kun taas **autorisointι määrittää mitä saat tehdä** (käyttöoikeudet, tarkistamalla pääsy resursseihin ja toimintoihin) — on perustavanlaatuista sille, kuinka sovellukset hallitsevat pääsyä, ja sen selkeä ymmärtäminen on välttämätöntä turvallisten järjestelmien rakentamiselle.

**Suhteen ja järjestyksen** ymmärtäminen (autentikointi ensin identiteetin vahvistamiseksi, sitten autorisointι käyttöoikeuksien tarkistamiseksi jokaisen toiminnon osalta, molempia tarvitaan — autentikoitu käyttäjä voi silti olla valtuuttamaton tiettyihin toimintoihin) selventää, kuinka ne toimivat yhdessä pääsynvalvonnassa.

Kriittistä on **yleisten virheiden** ymmärtäminen: kahden käsitteen sekoittaminen, ja erityisesti **rikkoutunut pääsynvalvonta** (autorisoinnin puutteet — OWASP:n #1 riski), jossa autorisointia ei tarkisteta asianmukaisesti, jolloin käyttäjät voivat päästä käsiksi tai muuttaa mitä he eivät saisi (kuten IDOR-haavoittuvuus, jossa käyttäjä muuttaa URL:n ID:tä päästäkseen toisen käyttäjän tietoihin).

Ohje **aina valvoa autorisointia palvelimella jokaiselle suojatulle toiminnolle** on olennaista turvallisuuskäytäntöä — yleinen todellinen haavoittuvuus on epäonnistuminen autorisoinnin asianmukaisessa tarkistuksessa tai sen varaaminen asiakkaalle.

Koska pääsynvalvonta (autentikointi + autorisointι) on perustavanlaatuista sovelluksen turvallisuudelle ja näiden käsitteiden sekoittaminen tai väärinkäsittely johtaa vakaviin haavoittuvuuksiin (erityisesti rikkoutunut pääsynvalvonta, suurin riski), ja koska erot, niiden järjestys ja yleiset autorisointivirheet on ymmärrettävä hyvin, on autentikoinnin ja autorisoinnin ymmärtäminen olennaista, perustavanlaatuista turvallisuustietoa — peruskaavioita pääsynvalvonnalle, jotka jokaisen kehittäjän on ymmärrettävä selkeästi, keskeistä turvallisten sovellusten rakentamiselle ja rikkoutuneen pääsynvalvonnan haavoittuvuuksien välttämiselle, jotka ovat yleisimpiä ja vakavimpia turvallisuuspuutteita.