Koja je razlika između autentifikacije i autorizacije?

Question

Accepted Answer

**Autentifikacija** provjerava **tko ste vi** (identitet), dok **autorizacija** određuje **što vam je dozvoljeno raditi** (dozvole). Oni su različiti ali povezani — autentifikacija dolazi prva (dokazati identitet), zatim autorizacija (provjeriti dozvole). Zbunjivanje njih je česta greška.

## Autentifikacija — tko ste vi?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorizacija — što možete raditi?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Odnos i redoslijed

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Česte greške

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Zašto je važno

Razumijevanje razlike između autentifikacije i autorizacije je temeljno jer su oni **osnovni koncepti sigurnosti osjetljivi za kontrolu pristupa**, a zbunjivanje njih je česta, važna greška, pa je to bitno znanje o sigurnosti.

Razlika — **autentifikacija provjerava tko ste vi** (identitet, putem prijave/vjerodajnica/MFA) dok **autorizacija određuje što vam je dozvoljeno raditi** (dozvole, provjeravanjem pristupa resursima i akcijama) — je temeljni dio kako aplikacije kontroliraju pristup, a jasno razumijevanje toga je potrebno za gradnju sigurnih sustava.

Razumijevanje **odnosa i redoslijeda** (autentifikacija prvo za uspostavljanje identiteta, zatim autorizacija za provjeru dozvola po akciji, s oba potrebna — autentificirani korisnik može i dalje biti neovlašten za specifične akcije) pojašnjava kako oni zajedno funkcioniraju u kontroli pristupa.

Kritično, razumijevanje **čestih grešaka** je važno: zbunjivanje dvaju koncepata, i posebno **slomljena kontrola pristupa** (greške u autorizaciji — OWASP-ov #1 rizik) gdje se autorizacija nije pravilno provjeravala, dozvoljavajući korisnicima pristup ili izmjenu onoga što ne bi trebali (kao IDOR ranjivost mijenjanja ID-a u URL-u za pristup tuđim podacima).

Uputa da **uvijek provedete autorizaciju na serveru za svaku zaštićenu akciju** je bitna praksa sigurnosti — česta stvarna ranjivost je neuspješna pravilna provjera autorizacije, ili oslanjanje na klijenta da je provede.

Budući da je kontrola pristupa (autentifikacija + autorizacija) temeljna za sigurnost aplikacije i zbunjivanje ili loše rukovanje s ovim konceptima dovodi do ozbiljnih ranjivosti (posebno slomljena kontrola pristupa, glavni rizik), i budući da razumijevanje razlike, njihovog redoslijeda, i čestih grešaka u autorizaciji je bitno za gradnju sigurnih sustava, razumijevanje autentifikacije naspram autorizacije je bitno, temeljno znanje o sigurnosti — osnovni koncepti za kontrolu pristupa koje svaki programer mora jasno razumjeti, osjetljivi za gradnju sigurnih aplikacija i izbjegavanje ranjivosti slomljene kontrole pristupa koje su među najčešćim i najozbiljnijim sigurnosnim nedostacima.