Apa perbedaan antara autentikasi dan otorisasi?

Question

Accepted Answer

**Autentikasi** memverifikasi **siapa Anda** (identitas), sementara **otorisasi** menentukan **apa yang boleh Anda lakukan** (izin). Keduanya berbeda namun terkait — autentikasi terlebih dahulu (buktikan identitas), kemudian otorisasi (periksa izin). Membingungkan keduanya adalah kesalahan umum.

## Autentikasi — siapa Anda?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Otorisasi — apa yang bisa Anda lakukan?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Hubungan dan urutan

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Kesalahan umum

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Mengapa ini penting

Memahami perbedaan antara autentikasi dan otorisasi adalah fundamental karena keduanya adalah **konsep keamanan inti yang sentral untuk kontrol akses**, dan membingungkan keduanya adalah kesalahan umum yang berdampak serius, jadi pengetahuan keamanan ini sangat penting.

Perbedaannya — **autentikasi memverifikasi siapa Anda** (identitas, melalui login/kredensial/MFA) sementara **otorisasi menentukan apa yang boleh Anda lakukan** (izin, memeriksa akses ke sumber daya dan tindakan) — adalah fundamental terhadap cara aplikasi mengontrol akses, dan memahaminya dengan jelas diperlukan untuk membangun sistem yang aman.

Memahami **hubungan dan urutan** (autentikasi terlebih dahulu untuk memestablish identitas, kemudian otorisasi untuk memeriksa izin per tindakan, dengan keduanya diperlukan — pengguna yang terautentikasi masih bisa tidak terotorisasi untuk tindakan tertentu) memperjelas bagaimana keduanya bekerja bersama dalam kontrol akses.

Secara kritis, memahami **kesalahan umum** adalah penting: membingungkan kedua konsep, dan terutama **kontrol akses yang rusak** (kesalahan otorisasi — risiko #1 OWASP) di mana otorisasi tidak diperiksa dengan tepat, membiarkan pengguna mengakses atau mengubah apa yang seharusnya tidak boleh (seperti kerentanan IDOR mengubah ID di URL untuk mengakses data pengguna lain).

Panduan untuk **selalu menegakkan otorisasi di server untuk setiap tindakan yang dilindungi** adalah praktik keamanan yang penting — kerentanan nyata yang umum adalah gagal memeriksa otorisasi dengan tepat, atau mengandalkan klien untuk menegakkannya.

Karena kontrol akses (autentikasi + otorisasi) adalah fundamental untuk keamanan aplikasi dan membingungkan atau salah menangani konsep-konsep ini menyebabkan kerentanan serius (terutama kontrol akses yang rusak, risiko teratas), dan karena memahami perbedaan, urutan mereka, dan kesalahan otorisasi umum adalah penting untuk membangun sistem yang aman, memahami autentikasi vs otorisasi adalah pengetahuan keamanan penting dan fundamental — konsep inti untuk kontrol akses yang harus dipahami dengan jelas oleh setiap pengembang, sentral untuk membangun aplikasi yang aman dan untuk menghindari kerentanan kontrol-akses-rusak yang merupakan di antara cacat keamanan yang paling umum dan serius.