認証と認可の違いは何ですか？

Question

認証と認可の違いは何ですか？

Accepted Answer

**認証**は**あなたが誰であるか**を検証し（アイデンティティ）、**認可**は**何ができるか**を決定します（権限）。これらは異なりますが関連しており、認証が最初に来て（アイデンティティを証明）、その後認可が来ます（権限をチェック）。混同することは一般的な間違いです。

## 認証 — あなたは誰ですか？

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## 認可 — 何ができますか？

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## 関係と順序

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## 一般的な間違い

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## なぜ重要なのか

認証と認可の違いを理解することは基本的です。なぜなら、それらは**アクセス制御の中心となるコアなセキュリティ概念**であり、混同することは一般的で重大な間違いであるため、本質的なセキュリティ知識です。

この区別 — **認証はあなたが誰であるかを検証します**（アイデンティティ、ログイン/認証情報/MFA経由）一方、**認可はあなたが何ができるかを決定します**（権限、リソースとアクションへのアクセスをチェック）— はアプリケーションがアクセスを制御する方法の基本であり、これを明確に理解することはセキュアなシステムを構築するために必要です。

**関係と順序**を理解すること（最初に認証してアイデンティティを確立し、その後各アクションの権限をチェックするために認可を実行し、両方が必要 — 認証されたユーザーでも特定のアクションについては認可されていない可能性があります）は、アクセス制御でそれらがどのように連携するかを明確にします。

重要なことに、**一般的な間違いを理解する**ことは重要です：2つの概念を混同すること、そして特に**不正なアクセス制御**（認可の欠陥 — OWASPの＃1リスク）。ここで認可が適切にチェックされず、ユーザーがアクセスまたは変更できないはずのものにアクセスできるようになります（URLのIDを変更して別のユーザーのデータにアクセスするIDOR脆弱性など）。

**保護されたすべてのアクションに対してサーバーで認可を常に強制する**ガイダンスは本質的なセキュリティプラクティスです — 一般的な実際の脆弱性は認可を適切にチェックしないこと、またはクライアントにそれを強制させることに依存することです。

アクセス制御（認証+認可）がアプリケーションセキュリティの基本であり、これらの概念を混同または誤処理することは深刻な脆弱性につながるため（特に不正なアクセス制御は最大のリスク）、また区別、その順序、および一般的な認可の間違いを理解することはセキュアなシステムを構築するために本質的であるため、認証対認可を理解することは本質的で基本的なセキュリティ知識です — すべての開発者が明確に理解しなければならないアクセス制御のためのコアな概念。セキュアなアプリケーション構築と最も一般的で深刻なセキュリティ欠陥の1つである不正なアクセス制御脆弱性を回避するために中心的です。