Qual è la differenza tra autenticazione e autorizzazione?

Question

Accepted Answer

**L'autenticazione** verifica **chi sei** (identità), mentre **l'autorizzazione** determina **cosa sei autorizzato a fare** (permessi). Sono concetti distinti ma correlati — l'autenticazione viene per prima (prova l'identità), quindi l'autorizzazione (controlla i permessi). Confondere i due è un errore comune.

## Autenticazione — chi sei?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorizzazione — cosa puoi fare?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## La relazione e l'ordine

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Errori comuni

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Perché è importante

Capire la differenza tra autenticazione e autorizzazione è fondamentale perché sono **concetti di sicurezza centrale al controllo degli accessi**, e confondere i due è un errore comune e significativo, quindi è conoscenza di sicurezza essenziale.

La distinzione — **l'autenticazione verifica chi sei** (identità, tramite login/credenziali/MFA) mentre **l'autorizzazione determina cosa sei autorizzato a fare** (permessi, verifica dell'accesso a risorse e azioni) — è fondamentale per come le applicazioni controllano l'accesso, e comprenderla chiaramente è necessario per costruire sistemi sicuri.

Capire la **relazione e l'ordine** (autenticazione per prima per stabilire l'identità, quindi autorizzazione per verificare i permessi per ogni azione, con entrambi necessari — un utente autenticato può comunque non essere autorizzato per azioni specifiche) chiarisce come funzionano insieme nel controllo degli accessi.

Criticamente, capire gli **errori comuni** è importante: confondere i due concetti, e specialmente **il controllo degli accessi compromesso** (difetti di autorizzazione — il rischio #1 di OWASP) dove l'autorizzazione non viene controllata correttamente, permettendo agli utenti di accedere o modificare ciò che non dovrebbero (come la vulnerabilità IDOR di cambiare un ID in un URL per accedere ai dati di un altro utente).

L'indicazione di **applicare sempre l'autorizzazione lato server per ogni azione protetta** è una pratica di sicurezza essenziale — una vulnerabilità reale comune è non verificare correttamente l'autorizzazione, o affidarsi al client per applicarla.

Poiché il controllo degli accessi (autenticazione + autorizzazione) è fondamentale alla sicurezza dell'applicazione e confondere o gestire male questi concetti porta a vulnerabilità gravi (specialmente il controllo degli accessi compromesso, il rischio principale), e poiché capire la distinzione, il loro ordine e gli errori comuni di autorizzazione è essenziale per costruire sistemi sicuri, capire l'autenticazione vs l'autorizzazione è conoscenza di sicurezza essenziale e fondamentale — concetti centrali al controllo degli accessi che ogni sviluppatore deve capire chiaramente, essenziali alla costruzione di applicazioni sicure e all'evitare le vulnerabilità di controllo degli accessi compromesso che sono tra gli errori di sicurezza più comuni e gravi.