Mi a különbség az autentikáció és az autorizáció között?

Question

Accepted Answer

**Autentikáció** ellenőrzi, hogy **ki vagy te** (identitás), míg az **autorizáció** meghatározza, hogy **mit szabad tenned** (engedélyek). Ezek különbözőek, de kapcsolódóak — az autentikáció jön először (identitás bizonyítása), majd az autorizáció (engedélyek ellenőrzése). Összekeverésük gyakori hiba.

## Autentikáció — ki vagy te?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorizáció — mit szabad tenned?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## A kapcsolat és a sorrend

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Gyakori hibák

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Miért fontos

Az autentikáció és az autorizáció közötti különbség megértése alapvető, mivel ezek **alapvető biztonsági fogalmak, amelyek központiak a hozzáférés-vezérlésben**, és összeműlésük gyakori, súlyos hiba, ezért elengedhetetlen biztonsági tudás.

A különbség — az **autentikáció azt ellenőrzi, hogy ki vagy** (identitás, bejelentkezés/hitelesítési adatok/MFA által), míg az **autorizáció meghatározza, hogy mit szabad tenned** (engedélyek, erőforrások és műveletek hozzáférésének ellenőrzése) — alapvető az alkalmazások hozzáférés-vezérlésében, és ennek tiszta megértése szükséges a biztonságos rendszerek felépítéséhez.

Az **kapcsolat és sorrend** megértése (autentikáció először az identitás megállapítására, majd autorizáció az engedélyek ellenőrzésére minden művelethez, mindkettő szükséges — egy hitelesített felhasználó így is lehet jogosulatlan meghatározott műveletekhez) tisztázza, hogy hogyan működnek együtt a hozzáférés-vezérlésben.

Kritikus az **gyakori hibák** megértése: a két fogalom összeműlése, és különösen a **hibás hozzáférés-vezérlés** (autorizációs hibák — az OWASP #1 kockázata), ahol az autorizációt nem ellenőrzik megfelelően, lehetővé téve a felhasználók számára olyan erőforrások elérését vagy módosítását, amit nem szabad (például az IDOR-sebezhető, ahol az URL-ben egy azonosítót megváltoztatva egy másik felhasználó adatait érik el).

Az útmutatás, hogy **mindig a szerveren érvényesíts autorizációt minden védett műveletnél** alapvető biztonsági gyakorlat — gyakori valós sebezhető az, hogy nem ellenőriznak megfelelően autorizációt, vagy az ügyfélre hagyják az érvényesítést.

Mivel a hozzáférés-vezérlés (autentikáció + autorizáció) alapvető az alkalmazásbiztonságban, és e fogalmak összeműlése vagy helytelen kezelése súlyos sérülékenységekhez vezet (különösen a hibás hozzáférés-vezérlés, a legfőbb kockázat), és mivel a különbség, sorrendjük és az autorizációs hibák megértése alapvető a biztonságos rendszerek felépítéséhez, az autentikáció és az autorizáció megértése alapvető, fundamentális biztonsági tudás — a hozzáférés-vezérlés alapfogalmai, amelyeket minden fejlesztőnek tisztán meg kell értenie, központi a biztonságos alkalmazások felépítésében és a leggyakoribb és súlyosabb biztonsági hibák közé tartozó hibás hozzáférés-vezérlési sebezhető sebességek elkerülésében.